administración de la seguridad m.c. juan carlos olivares rojas septiembre 2009
TRANSCRIPT
Administración de la Seguridad
M.C. Juan Carlos Olivares RojasSeptiembre 2009
Agenda• La vulnerabilidad • Las amenazas • Los riesgos • Los ataques • Los recursos a proteger • Control de acceso • Detección de intrusos • Detección de código malicioso • Auditorias de seguridad
Síntomas de Riesgo• Un síntoma es la salida de una función
normal que indica una posible anormalidad. Un síntoma es subjetivo, es observado por el paciente y no medible
• Los síntomas pueden ser crónicos, retardados o esporádicos. Se pueden mejorar o empeorar.
• Un signo es notificado por otras personas
Administración de Riesgos• La administración de riesgos es una etapa
crucial para el aseguramiento de los activos de información.
• La administración de riesgos incluye la detección de riesgos y el control de los mismos.
• ¿Qué es el riesgo?• Es la probabilidad de que una actividad no
deseada ocurra.
Administración del Riesgo• Todas las actividades tienen riesgo. No
existe una actividad 100% ni 0% riesgosa.
La vulnerabilidad • Es un factor interno caracterizado por un
hueco de seguridad (una debilidad del sistema) que puede ser aprovechada por una amenaza.
• Las vulnerabilidades deben ser los elementos que deban atender los controles de seguridad para asegurar a los activos de información.
Las amenazas • Son factores externos que pueden
aprovechar las vulnerabilidades de un sistema para exponer a un activo de información.
• Las amenazas son más difíciles de prevenir dado que ya no podemos anticiparnos del todo.
• Los controles tienden a minimizar las amenazas y vulnerabilidades.
Los ataques • Se dan cuando se combina una amenaza
con una vulnerabilidad.
• Los ataques son cuantificados al impacto que pueden producir, generalmente expresados en dinero.
• El impacto puede darse por ejemplo al no tener un recurso disponible causando pérdidas económicas al no poder trabajar o bien un daño de imagen social.
Administración del Riesgo
¿Cuál es la probabilidad de que este evento ocurra?
Los riesgos
• Calculado por el producto de la probabilidad de ocurrencia de la amenaza vs los impactos que tendría el activo de materializarse dicha amenaza.
• Los riesgos generalmente son calculados a nivel estadístico como el número de frecuencia en que ha ocurrido un evento contra el número total de eventos disponibles.
Evaluación del Riesgo• Existen muchas metodologías para
calcular el riesgo. Todas ellas dependen de los usuarios.
• Los riesgos se calculan en tres niveles: alto, medio y bajo.
• Los riesgos son calculados por dimensiones como impacto y frecuencia de ocurrencia.
Evaluación del Riesgo
Modelado de Riesgos
Riesgo
VulnerabilidadesAmenazas
Controles
Requerimientos de seguridad Valor del activo
Activos
Proteccióncontra
Explotan
Reduce
Aumenta
Establece
Aumenta
Exponen
TieneAumenta
Implementan
Impacto en la organización
Modelado de Riesgos• Deben intervenir además del personal de
seguridad, los dueños, custodios y usuarios de los activos de información.
• Existen dos tipos de análisis de riesgo: Existen dos tipos de análisis de riesgos:
• Cualitativo y cuantitativo.
Modelado de RiesgosCuantitativo Cualitativo
Ventajas
Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros. Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad. Los resultados se pueden expresar en términos de negocio (ejemplo: perdidas financieras, costos anuales) La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica.
Permite la visibilidad y la comprensión de la clasificación de riesgos.
Resulta más fácil lograr el consenso.
No es necesario cuantificar la frecuencia de las amenazas.
No es necesario determinar los valores financieros de los activos.
Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.
Modelado de RiesgosCuantitativo Cualitativo
Desventajas
Los valores de impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes. Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo. Los cálculos pueden ser complejos y lentos. Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por algunas personas. El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso.
No hay una distinción suficiente entre los riesgos importantes.
Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases de un análisis costo-beneficio.
Los resultados dependen de la calidad del equipo que este trabajando en el proceso.
Matriz de RiesgosNivel Definición de Ocurrencia
Alto La amenaza tiene una gran probabilidad de ocurrencia, y los controles que previenen
esta vulnerabilidad son inefectivos.
Medio La amenaza tiene probabilidad de ocurrencia, pero los
controles actuales pueden impedir que se explote dicha
vulnerabilidad.
Bajo La amenaza es de muy baja probabilidad o los controles
existentes evitan que suceda.
Matriz de RiesgosMagnitud del Impacto Definición del Impacto
Alto Si se explota la vulnerabilidad:1.Existe una pérdida monetaria de los activos tangibles o recursos más importantes de la empresa2.Se ve afectada la misión, reputación o interés de la empresa3.Existen pérdidas humanas o lesiones mayores
Medio Si se explota la vulnerabilidad:1.Puede resultar en la pérdida monetaria de activos o recursos2.puede violar o impedir la misión, reputación o interés de la empresa3.Puede resultar en una lesión
Bajo Si se explota la vulnerabilidad:1.Puede resultar en la pérdida de algunos recursos o activos2.Puede llegar a afectar de manera casi imperceptible la misión, reputación o interés de la empresa
Matriz de RiesgosNivel de Riesgo Impacto Vulnerabilidad
Muy Alto Alto Alto
Alto Alto Medio
Alto Medio Alto
Medio Alto Bajo
Medio Medio Medio
Medio Medio Bajo
Medio Bajo Alto
Medio Bajo Medio
Bajo Bajo Bajo
Matriz de RiesgosWEB
Server
Acceso no autorizado
B A M Se puede presentar el caso en el que personal no autorizado accese al equipo a nivel hardware o software durante el trayecto del Servicio hacia el sitio del Cliente, por lo cual impactaría en el desempeño adecuado del activo.
Front END Server
Falla de Hardware M A A Puede presentarse el caso en que alguna de las partes del activo funcione en forma deficiente, con lo cual afectaría en su funcionamiento general y afectaría también al aprovisionamiento adecuado del servicio.
WEB
Server
Negación de Servicio
A A MA Puede presentarse un ataque DoS dada la popularidad del sitio y la falta de controles para mitigar este ataque, si deja de responder el servicio causaría daños graves financieros y de imagen
Reglas del Negocio
21
Ejemplos más estructurados:Reglas de Operación
- 24x7 monitoreo y atención a fallas
- Equipo y solución de filtrado operada en XYZ por el equipo de Operaciones
- Cliente dueño de la cuenta, tiene privilegios para realizar cambios a los perfiles de sus usuarios vía el WEBKIT
- Filtrado esta dentro de la solución de los switches de Cache
- Perfiles definidos por el usuario no pueden cambiar ni modificar los perfiles. Tampoco pueden solicitar apoyo para cambiar perfiles, solo el usuario administrados puede hacer esto.
- Solamente el dueño (administrador) de la cuenta puede pedir cambios
- Soporte por medio del centro de atención para clientes de Internet Dial-Up
Atención a Clientes
- Facturación plana, adicional a la cuota de Dial-Up
- Puede ofrecerse un mes de prueba gratis
- Ajuste proporcional al tiempo que se utilizo cuando no entra la solicitud en los ciclos de facturación
Facturación
- Entrega hecha por parte de TMK (adicional a Dial-Up cuando se solicite en conjunto)
- No requiere configuración del lado del cliente
- Cliente se le da una clave de acceso para configurar los accesos adicionales con los perfiles que el requiera.
Entrega de Servicios
Simuladores de Riesgo• Seguros de Vida:• 194.224.248.32/simuladores/ *
• Simuladores de Negocios:• http://www.gameonsoftware.com/index.ht
m• http://www.beer-war.com/ *• http://www.riskybusiness.com/
Pasos Recomendados en una Estrategia de Seguridad
Evaluación de Activos
Caso 1• El Hospital “Santa Cecilia”, el cual cuenta
con más de 100 años de operación en la ciudad de Monterrey. Cuenta con tres hospitales satélites en donde se atienden urgencias y medicina familiar.
• Desde hace dos años implementó un sistema para sistematizar las historias clínicas de sus pacientes. Al momento llevan un 30% de avance en la captura de esa información, por lo que existe todavía gran cantidad de información en archivos de papel.
Caso 1• El Hospital cuenta con más de 300
equipos de cómputo conectados a través de su red local, los cuales mantienen estrecha comunicación con el equipo central.
• Así mismo maneja conexiones con aseguradoras para la transferencia de información referente a trámites de sus pacientes.
Caso 1• Hace cinco años el hospital se conectó a
Internet, ya que esto facilitaba la comunicación con sus clientes y proveedores.
• Existen canales de comunicación tales como el correo electrónico y mensajería, por donde fluye todo tipo de información (incluyendo la transferencia de archivos).
Caso 1• A mediados del año pasado lanzó su
portal del área de laboratorio y check up, con lo cual sus clientes pueden acceder a sus resultados de laboratorio y enviárselos a su doctor.
• Dentro de los planes de expansión, el hospital está considerando asociarse con la Clínica Mayo con el fin de transferir tecnología y establecer acuerdos de investigación.
Caso 1• Actualmente el Hospital cuenta con un
Centro de Investigación líder a nivel mundial en Neurocirugía y cuenta con dos investigadores que han ganado premios Nobel por las investigaciones realizadas en este campo. Esto le ha dado una ventaja competitiva a este hospital.
• En los próximos meses se empezará a realizar un reemplazo de equipo de cómputo y se necesita tomar una decisión sobre como disponer del equipo viejo.
Actividad 1• En base al caso anterior realizar un
análisis de riesgo. Se deberá utilizar la metodología anteriormente descrita.
• Para cada activo de información presentar posibles controles a implementar para mitigar.
• Existen metodologías más robustas y complejas como Cobra para la administración del riesgo.
Los recursos a proteger • Los recursos a proteger son muy variados.
• El análisis de riesgos es una herramienta que nos va a permitir tomar mejores decisiones sobre que activos de información se deben de proteger y en que orden.
• En algunas ocasiones se revisa el control interno de la organización para determinar el valor de sus activos.
Control de acceso • Es una tecnología, política, proceso o
procedimiento que contrarresta una amenaza y por consecuencia mitiga los riesgos asociados a un activo.
• Los controles de acceso se encargan de asegurar que los activos de información los utilicen quien debe de utilizarlos. Nótese que no se valida su correcto funcionamiento.
Controles de A. ISO 27000• A.11.1 Business requirement for access
control. Objetivo: una política de control de acceso debe ser establecida, documentada y revisada en base a los requerimientos de negocio.
• A.11.2 User access management Los temas que se norman en términos generales son: Habilitación de cuentas y registro de usuarios, mediante un proceso formal y expedito que incluya: altas, bajas, suspensiones y cambios de los mismos…
Controles de Acceso• A.11.3 User responsibilities • Objetivo: Prevenir acceso no autorizado y
evitar comprometer o el robo de información: Uso de contraseñas, se deben seguir las mejores prácticas en la selección y uso de contraseñas. Escritorio limpio y equipo no atendido, los usuarios deben guardar en forma segura la información crítica del negocio que esté en cualquiera de sus.
Control de Acceso• A.11.5 Operating system access control • Los accesos específicos a los sistemas
operativos de la infraestructura de TI deben ser controlados por procedimientos de identificación y autenticación robustos, se debe minimizar el desplegar una vez que los usuarios tienen acceso a estos sistemas información del tipo y versión del sistema operativo para evitar brindar información innecesaria…
Control de Acceso• A.11.6 Application and information access
control: El acceso a la información y sistemas de información ya sea por usuarios o personal de soporte debe ser restringido de acuerdo con el proceso de asignación de privilegios. La infraestructura de cómputo de los sistemas de información con información sensitiva debe ser separada para evitar accesos no autorizados. Se debe limitar y registrar el número de intentos fallidos de conexión de los usuarios de los sistemas de información.
Base Line• Un base line es un conjunto de reglas
establecidas que forman una base de normas o prácticas sobre un proceso o sistema.
• Estas normas o prácticas son establecidas normalmente como una base de comparación entre organizaciones o empresas para verificar un nivel de cumplimiento.
Base Line• Para poder establecer un base line, se
requieren varios elementos:
• basarse en algunos estándares internacionales o mejores prácticas,
• normas publicadas por algunas organizaciones reconocidas internacionalmente y
• experiencias obtenidas por la práctica en las organizaciones.
Base Line• Establecer un base line en seguridad de
información, requiere mucha experiencia y madurez, no es muy práctico solo “copiar” base line de otras organizaciones dado que cada organización es diferente, tiene necesidades diferentes de acuerdo a sus niveles de madurez y necesidades.
• Generalmente están listados en orden de importancia aunque pueden no serlo.
Base Line Control Acceso• Para cada activo de información y
sistema de información debe existir una bitácora externa al mismo para el registro de usuarios autorizados para acceder a los mismos.
• Debe establecerse procedimientos para verificar que el nivel de acceso concedido es apropiado para el propósito de negocio y que sea consistente con la directriz de control de accesos
Base Line Control de Acceso• El procedimiento de creación de usuarios
debe indicar como se otorga la autorización requerida antes de otorgar el acceso solicitado.
• El formato de solicitud de autorización para dar de alta o modificación de un usuario a un activo con los siguientes campos:– Nombre del usuario– Sistema o aplicación al cual requiere acceso,
revocación o modificación.
Base Line Control de Acceso– Organización a la que pertenece – Privilegios solicitados – Gerencia que solicita el acceso
• El usuario final que se le brinda el acceso debe recibir una notificación con el permiso otorgado, privilegios y responsabilidades asociadas a la cuenta o en su defecto la razón por la que fue denegado el acceso
Base Line Control de Acceso• Se debe asegurar no proporcionar
accesos hasta no completar los procedimientos de autorización establecidos.
• Se debe mantener un registro formal de todas las personas registradas con derecho a usar los activos de información o sistemas de información.
Base Line Control de Acceso• La autorización del acceso al sistema debe
realizarse por el administrador de a cargo de la custodia del activo de información o sistema de información y debe registrarse en la bitácora de usuarios autorizados
• La bitácora de registro de usuarios debe tener al menos los siguientes campos: – Nombre usuario – Organización a la que pertenece – Identificador del usuario en el sistema
Base Line Control de Acceso– Grupo al que pertenece (en caso que los
privilegios se administren por grupo)– Rol del usuario en el sistema: Administrador,
Desarrollador de software, Operador de respaldo, etc.
– Usuario de aplicación – Privilegios otorgados en el sistema o aplicación– Fecha en que fueron otorgados – Estado actual del usuario – Fecha del último cambio en los accesos – Persona que autorizó la creación de usuario y
los privilegios otorgados
Base Line Control de Acceso• En el caso que un activo de información o
sistema de información se entregue en custodia a una determinada organización se debe firmar una carta responsiva en la cual acepta la responsabilidad de la custodia del activo de información así como de las operaciones autorizadas a ejecutar
Base Line Control de Acceso• La organización usuaria debe notificar al
custodio del activo de información o del sistema de información cuando un usuario haya cambiado de rol o haya salido de la compañía para la revocación inmediata del acceso.
• Se debe remover inmediatamente los derechos de acceso cambiado de área de trabajo o abandonado la organización.
Base Line Control de Acceso• Se debe de verificar periódicamente las
cuentas de los usuarios y remover aquellos identificadores de usuarios que resulten redundantes.
• Métricas:• Número de Altas y Bajas de usuarios • Número de autorizaciones para dar de
alta o modificación de un usuario a un activo de información
• Número de usuarios con acceso permitido.
Detección de intrusos • La detección de intrusos es una actividad
díficil de llevarse acabo.
• Se puede realizar la detección de intrusos con herramientas como la auditoria, los controles de acceso entre otras.
• Más que la detección nos interesa el aseguramiento del activo.
Detección de código malicioso
• La detección de código malicioso también es una actividad complicada de llevar acabo dado que no tenemos la certeza de las actividades que va a realizar un software hasta que este se ejecuta.
• Basándose en ese principio nuestra seguridad está condicionada a los efectos visibles (patrones o firmas) que se presenten y aun conociéndolos no tenemos la certeza absoluta que pueda ser malicioso.
Ejercicio de Análisis de Riesgos• Resolver los siguientes problemas por
parejas, realizar una exposición en la que se de solución al problema.
• ¿Qué métricas permitirían ver que tan efectivo es el control implementado?
• Entrega próximo sábado.
Ejercicio 2• Entre los incidentes más recientes en el
Hospital Santa Cecilia se cuentan los siguientes:
• Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.
Ejercicio 2• Se han reportado clientes del hospital
notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo.
• Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.
Ejercicio 2• Existe software no licenciado instalado en
los equipos del hospital.
• Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes.
• Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.
Ejercicio 2
• Se han detectado accesos no autorizados a los sistemas.
• ¿Qué eventos de los explicados en la sesión han afectado al hospital?
• ¿Con base en tu experiencia que harías para corregir esta situación?
Ejercicio 3• Identifica qué principio y activo es el más
importante para cada una de las siguientes organizaciones. Justifica tu respuesta.
• Secretaría de Hacienda • Ejército • Empresa farmacéutica • Amazon.com• Sistema de Escolar de una Universidad
Ejercicio 3
• Sistema de emergencias telefónica 066• Su equipo de cómputo personal. • Banco • Carrier de telecomunicaciones. • Coca Cola.
Ejercicio 4
• La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.
Ejercicio 4
• Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen:
• Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).
Ejercicio 4
• La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías.
• El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:
Ejercicio 4
• Acceso no autorizado a la información de los clientes.
• Software malicioso que afecte a los principales sistemas de la empresa
• Denegación de servicios a su portal de Internet
Ejercicio 4
• A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos.
• De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso.
Ejercicio 5
• La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.
Ejercicio 5
• Lo primero que la dirección general le ha solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.
Ejercicio 5• Escribe un reporte con está política
especifica con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones:
• Antecedentes • Objetivo • Cuerpo del documento • Responsabilidades • Definición de términos
Ejercicio 6
• La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.
Ejercicio 6
• El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet.
• Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):
Ejercicio 6
• Procedimientos de respaldos de Información
• Procedimientos de control de acceso lógico a la información
• Procedimientos de control de cambios
• Procedimientos de control de software malicioso
Ejercicio 7• EL Hospital “El Milagro” ha estado
desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos.
• EL director en una entrevista mencionó lo siguiente (en resumen):
Ejercicio 7• El área de seguridad depende del área de
redes
• Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad.
• Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.
Ejercicio 7• El gasto de inversión en equipos de seguridad
como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado.
• Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados.
• Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.
Ejercicio 7
• El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico.
• Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.
Ejercicio 7• De manera adicional se deben realizar las
siguientes actividades:
• Visión de seguridad de información (a 5 años) • Misión de seguridad de información • Que dimensión será la más relevante en un
Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación)
• Establecer 5 objetivos de seguridad de información.
Ejercicio 8
• Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente:
• Escribe una política de seguridad corporativa (Máximo tres párrafos).
• Identifica tres políticas específicas que consideras deben de desarrollarse.
Ejercicio 8
• Lista tres recomendaciones que harías a los empleados del hospital en cuanto a:
• Respaldo de información • Correo electrónico • Manejo de usuarios y contraseñas • Uso de equipo de cómputo.
Ejercicio 9• El proveedor de servicios de Internet
Inter-Fly, el cual cuenta con más de 10 años de operación en las tres principales ciudades: México, Monterrey y Guadalajara. Ofrece servicios de Internet dedicados de alta capacidad a empresas grandes y medianas.
Ejercicio 9• Hace aproximadamente un año
implementó un sistema para presentar las facturas de los clientes en línea, el tráfico cursado por día y la opción de pagar las facturas mediante tarjetas de crédito corporativas y/o transferencias electrónicas.
• La empresa cuenta con una granja de servidores Web los cuales presentan el portal hacia los clientes y atienden sus peticiones.
Ejercicio 9• Los servidores Web se conectan hacia un
sistema de base de datos configurados en alta disponibilidad los cuales almacenan las facturas, los registros, las transacciones, las consultas, los datos completos de los clientes, los números de las tarjetas de crédito y los números de cuentas de cheques de los clientes.
• Adicionalmente cuentan con switches, enrutadores, cortafuegos y otros elementos de protección para garantizar la seguridad del servicio.
Ejercicio 9• La operación del proveedor de servicios
de Internet es centralizada y no considera ningún tipo de redundancia geográfica.
• La empresa no cuenta con un programa o modelo de seguridad de información corporativo pero esta en sus planes estratégicos para el próximo año. La seguridad de la empresa se basa en operadores y administradores de equipos y servidores los cuales manejan la seguridad de los mismos.
Ejercicio 9• Inter-Fly ha decidido implementar muchos
de sus servicios a sus clientes vía Internet, necesitan saber que elementos de seguridad necesita implementar en su red local.
Ejercicio 10• La Universidad “Valle del Norte”, la cual
cuenta con más de 100 años de operación en la ciudad de Monterrey. Cuenta con 10 campus en diversas ciudades de la República.
• Esta Universidad ha dedicado muchos recursos en sus sistemas de administración escolar, administración financiera y plataforma de cursos en línea.
Ejercicio 10• Cuenta con más 3,000 equipos de
cómputo conectados a través de sus redes locales, los cuales mantienen estrecha comunicación con equipos centrales.
• Así mismo maneja conexiones con otras Universidades que tienen centros de investigación.
Ejercicio 10• El rector de la Universidad ha llamado a
un grupo de expertos de Seguridad de Información para obtener consejos debido a que se han presentado ciertos incidentes “penosos” como alteración indebida de calificaciones y cursos en línea, ataques al portal de cursos en línea, epidemias de virus en algunos sistemas como el financiero, pérdida de información en los sistemas debido a problemas de hardware, los sistemas de inscripciones de han caído en la última inscripción, etc.
Ejercicio 10• En una entrevista con el director de
Informática se pudo visualizar ciertas problemáticas generales como son:
• Al parecer cuentan con redes locales muy extensas o con una deficiente segmentación.
• No cuentan con una estructura de firewalls para proteger sus redes de Internet ni para uso interno.
Ejercicio 10• No cuenta con sistemas de antivirus
debidamente actualizados.
• No han tenido tiempo para desarrollar los procedimientos operativos más importantes para el día a día.
• No existe una política de uso de recursos computacionales (se detectan acceso a sitios inmorales).
Ejercicio 10• No cuentan con una plataforma ni
procesos robustos de controles de acceso.
• Han instalado redes inalámbricas en forma descontrolada.
• Ha habido robo de laptops a alumnos y a profesores dentro de la Universidad.
Ejercicio 10• Los equipos de las salas de alumnos son
continuamente des-configurados.
• Hay quejas de falta de capacidad en el sitio central así como en sus comunicaciones.
• Para cada incidente de seguridad proponer mecanismos de control que ayuden a evitar el riesgo.
Auditorias de seguridad• La auditoria es la evaluación de una
persona, sistema, proceso, proyecto o producto.
• La auditoría se utiliza como mecanismo de control para logar el aseguramiento de la calidad.
• La auditoría se centra en verificar y validar el control interno de una organización. En cuestión de seguridad es lo mismo.
Auditorías de Seguridad• La auditoría describe como se hacen las
cosas, no tanto su existencia. Por ejemplo al auditar una base de datos se está validando el uso de la base de datos y no su existencia.
• La auditoría es todo un proceso de verificación de lo que se dice ser con lo que se tiene.
• Las auditorías pueden ser generales o técnicas
Auditoría de Seguridad• La auditoría de seguridad es una
auditoria técnica. Se recomienda que sea una auditoria de control superior (externa) aunque es deseable que se haga de manera interna para control interno.
• La auditoría en general y la especializada en seguridad debe de realizarse en los procesos de negocios de las organizaciones.
Auditorías de Seguridad• ¿Qué es lo que se audita?
• Activos de información y la información misma respecto a como se usa y que se cumplan las políticas de seguridad.
Auditorías de Seguridad
Auditorías de Seguridad• El proceso de auditoria finaliza con un
reporte en el cual se indican los hallazgos encontrados y la evidencia que confirma dichos hallazgos.
• Si no se tiene evidencia sustantiva no se puede sustentar ninguna opinión profesional.
• Con la evidencia recabada se debe de poder reconstruir la instantánea de lo evaluado.
Auditorías de Seguridad• Para realizar auditorías de seguridad se
requiere previamente realizar planeación. Sino se tiene un plan de auditorías no se puede garantizar que es seguro.
• Se pueden utilizar herramientas de análisis de vulnerabilidades para revisar posibles activos.
• Es más recomendable utilizar versiones propias de análisis de vulnerabilidades.
Auditorías de Seguridad• Se pueden realizar a través de forma
manual o auxiliándose de alguna herramienta actualizada.
• Los auditores no solucionan los problemas encontrados, sólo los reportan de la misma forma que en desarrollo de software un tester prueba no codifica.
Ejemplo de Auditoría• ¿Qué hace el siguiente pseudocódigo?W, X, Y, Z: realREAD W, XZ = 1While (z > 0.01) do Y = X – (((X*X) – W)/ (2*X)) Z = abs(X – Y) X = YEnd WhilePrint X
Referencias• Senft, S. And Gallegos, F. (2008)
Information Technology Control and Audit, Third Edition, CRC Press, United States
• Hall, H, Information Auditing, School of Computing, Napier University, 2009.
• Boiko, UW iSchool, Information Audits, ischool.washington.edu, 2009.
¿Preguntas?