Este documento trata sobre conceptos generales de seguridad de TI. Explica la importancia de la auditoría de seguridad y la evaluación de riesgos. También describe los problemas más comunes de seguridad, las fases de una auditoría de seguridad, y cómo auditar la seguridad física, lógica, de comunicaciones y continuidad de operaciones. Además, cubre temas como seguridad de sistemas operativos, bases de datos, datos, redes y formas de protección.
2. AUDITORIA DE LA SEGURIDADAUDITORIA DE LA SEGURIDAD
Para muchos la seguridad sigue siendo el área principal a
auditar.
Puede haber seguridad sin auditoria, puede existir auditoria
de otras áreas y queda un espacio de encuentro: la auditoria de
la seguridad.
3. EVALUACION DE RIESGOSEVALUACION DE RIESGOS
Se trata de identificar los riesgos, cuantificar su probabilidad
e impacto, y analizar medidas que lo eliminen; lo que
generalmente no es posible; o, que disminuyan la
probabilidad de que ocurran los hechos o mitiguen el
impacto.
Para evaluar riesgos hay que considerar, entre otros
factores, el tipo de información almacenada, procesada y
trasmitida, la criticidad de las aplicaciones, la tecnología
usada, el marco legal aplicable, el sector de la entidad, la
entidad misma y el momento.
4. Problemas de Red
24%
Otros
23%
Robo de Data
7%
Sabotaje
5%
Fallas de la
11%
,a la red
Virus de Computadora
12%
Error de
14%
Problemas de Seguridad Relacionados con laProblemas de Seguridad Relacionados con la
Pérdida FinancieraPérdida Financiera
Ingresos
4%
Computadora
Software
5. FASES DE LA AUDITORIA DE SEGURIDADFASES DE LA AUDITORIA DE SEGURIDAD
Determinación del plan de trabajo y de los recursos y plazos
en caso necesario, así como de comunicación a la entidad.
Adaptación de cuestionarios, y a veces consideración de
herramientas o perfiles de especialistas necesarios, sobre
todo en la auditoria externa.
Realización de entrevistas y pruebas
Análisis de resultado y valoración de riesgos.
Presentación y discusión del informe provisional.
Informe definitivo.
6. AUDITORIA DE SEGURIDAD FISICAAUDITORIA DE SEGURIDAD FISICA
Ubicación de los centros de procesos y de los servidores
locales y en general cualquier elemento a proteger.
Estructura, diseño construcción y distribución de los
edificios y de sus plantas.
Amenazas de fuego.
Controles preventivos.
Control de acceso, en determinados edificios.
Protección de los soportes magnéticos en cuanto a
acceso, almacenamiento y posible transporte.
7. AUDITORIA DE SEGURIDAD LOGICAAUDITORIA DE SEGURIDAD LOGICA
Es necesario verificar que cada usuario solo pueda
acceder a los recursos a los que le autorice el propietario,
aunque sea de forma genérica, según su función, y con las
posibilidades que el propietario haya fijado.
Algunos aspectos a evaluar:
Quien asigna la contraseña: inicial y sucesivas.
Longitud mínima y composición de caracteres .
Vigencias
Numero de intentos
Protección o cambio de las contraseñas .
8. SEGURIDAD DE TISEGURIDAD DE TI
Definición:Definición:
Una política de seguridadde TI es una forma de comunicarseUna política de seguridadde TI es una forma de comunicarse
con los usuarios, ya que la mism establece un canal formal decon los usuarios, ya que la mism establece un canal formal de
actuación del personal, en relación con los recursos y serviciosactuación del personal, en relación con los recursos y servicios
informáticos de la organización.informáticos de la organización.
9. Criterios de SEGURIDADCriterios de SEGURIDAD
La falta de accesibilidad produce una denegación deLa falta de accesibilidad produce una denegación de
servicio, que es uno de los ataques más frecuentes enservicio, que es uno de los ataques más frecuentes en
Internet.Internet.
CCualquier entidad que envía o recibe datos no puede alegarualquier entidad que envía o recibe datos no puede alegar
oo desconocer el hecho.desconocer el hecho.
Los dos criterios anteriores son especialmente importantesLos dos criterios anteriores son especialmente importantes
en el entorno bancario y de comercio electrónicoen el entorno bancario y de comercio electrónico..
Los usuarios deben saber que sus actividades quedanLos usuarios deben saber que sus actividades quedan
registradas.registradas.
10. SEGURIDAD DE SISTEMASSEGURIDAD DE SISTEMAS
OPERATIVOSOPERATIVOS
Brevemente, algo de Windows NT o Windows 200XBrevemente, algo de Windows NT o Windows 200X
ServerServer
11. AuditoriasAuditorias
a)a) AAuditorias de cuentas de usuariosuditorias de cuentas de usuarios::
El Sistema de auditorias de Windows NT permite rastrear sucesos queEl Sistema de auditorias de Windows NT permite rastrear sucesos que
ocurren en una máquina NT, servidor de dominio o estación o servidorocurren en una máquina NT, servidor de dominio o estación o servidor
NT .NT .
La política de auditorias se establece en cada máquina NT. Se puedenLa política de auditorias se establece en cada máquina NT. Se pueden
realizarrealizar variosvarios tipos de auditorias en NT:tipos de auditorias en NT:
Los eventos que se pueden auditar son:Los eventos que se pueden auditar son:
·· Logon y logoff en la redLogon y logoff en la red
·· Acceso a ficheros , directorios o impresorasAcceso a ficheros , directorios o impresoras
·· Ejercicio de los derechos de un usuarioEjercicio de los derechos de un usuario
·· Seguimiento de procesosSeguimiento de procesos
·· Arranque del sistema...Arranque del sistema...
12. b)b) AAuditorias del sistema de archivosuditorias del sistema de archivos::
LLos eventos que se pueden auditar son: lectura, escritura, ejecución,os eventos que se pueden auditar son: lectura, escritura, ejecución,
eliminación, cambio de permisos y toma de posesión.eliminación, cambio de permisos y toma de posesión.
Seguridad de Base de Datos.Seguridad de Base de Datos.
El primer filtro de seguridad de la Base de Datos lo constituye,El primer filtro de seguridad de la Base de Datos lo constituye,
evidentemente, el Sistema Operativo.evidentemente, el Sistema Operativo.
Dada la complejidad de los problemas anteriores, es el propio SistemaDada la complejidad de los problemas anteriores, es el propio Sistema
de Gestión de Bases de Datos (SGBD) el que proporciona lade Gestión de Bases de Datos (SGBD) el que proporciona la
seguridad de éstas. Un SGBD debe mantener los tres criteriosseguridad de éstas. Un SGBD debe mantener los tres criterios
básicos:básicos:
–– Confidencialidad.Confidencialidad.
–– Integridad.Integridad.
–– Disponibilidad.Disponibilidad.
13. La seguridad en Bases de Datos se implementa medianteLa seguridad en Bases de Datos se implementa mediante
mecanismos de:mecanismos de:
–– Identificación y autentificación.Identificación y autentificación.
–– Control de acceso a los objetos (datos y recursos).Control de acceso a los objetos (datos y recursos).
–– Registro de auditoria.Registro de auditoria.
–– Protección criptográfica de alguno de los datosProtección criptográfica de alguno de los datos..
14. Las posibles vulnerabilidades en la Bases de Datos son:Las posibles vulnerabilidades en la Bases de Datos son:
–– Ataques Directos: revelación, alteración y destrucción de datos.Ataques Directos: revelación, alteración y destrucción de datos.
•• La prevención frente a este tipo de ataques pasa por mecanismos deLa prevención frente a este tipo de ataques pasa por mecanismos de
identificación, autentificación y control de accesoidentificación, autentificación y control de acceso..
15. –– Ataques Directos: Inferencias estadísticas.Ataques Directos: Inferencias estadísticas.
•• Tratan de descubrir datos sensibles, y privados, en base a parámetrosTratan de descubrir datos sensibles, y privados, en base a parámetros
estadísticos que son de acceso más libre (valores medios, desviaciones,estadísticos que son de acceso más libre (valores medios, desviaciones,
máximos.máximos.
–– Ataques indirectos: Caballo de Troya.Ataques indirectos: Caballo de Troya.
•• Son programas hostiles que actúan solapándose bajo un programaSon programas hostiles que actúan solapándose bajo un programa
normal. Cuando éste se procesa, el caballo de Troya ataca a la Base denormal. Cuando éste se procesa, el caballo de Troya ataca a la Base de
Datos soslayando los mecanismos de protección.Datos soslayando los mecanismos de protección.
16. AUDITORIA DE LA SEGURIDAD DE LOSAUDITORIA DE LA SEGURIDAD DE LOS
DATOSDATOS
Es necesario la designación de propietarios.
Clasificación de los datos.
Restricción de su uso para pruebas.
Aquellos soportes que tengan datos o información de los
niveles más críticos estarán especialmente protegidos,
incluso cifrados.
En el caso de transporte de datos clasificados, debe
realizarse por canales seguros, y si es en soporte
magnético o por transmisión deben ir cifrados.
17. TECNICAS PARA EL CONTROL DE BASE DE
DATOS :
* Matrices de control
* Análisis de caminos de acceso
18. MATRIZ DE CONTROLMATRIZ DE CONTROL
Sirve para identificar los conjuntos de datos del SI junto
con los controles de seguridad o integridad de los mismos.
DATOS CONTROLES DE SEGURIDAD
PREVENTIVOS DETECTIVOS CORRECTIVOS
TRANSACCIONES
DEENTRADA
VERIFICACION
INFORMEDE
RECONCILIACION
REGISTROS DE
BASEDEDATOS
CIFRADO
INFORMEDE
EXCEPCION
COPIA DE
SEGURIDAD
19. ANALISIS DE LOS CAMINOS DE ACCESOANALISIS DE LOS CAMINOS DE ACCESO
MONITOR
DE
TELEPROC
ESO
MONITOR
DE
TELEPROC
ESO
PAQUETE
DE
SEGURIDA
D
PAQUETE
DE
SEGURIDA
D
PROGRAM
A
PROGRAM
A SGBDSGBD SOSO
DATOSDATOS
CONTROLE
S
DIVERSOS
COPIAS DE SEGURIDAD
FICHERO DIARIO
INTEGRIDAD DE DATOS
CONTROL DE ACCESO
CONTROL DE INTEGRIDAD
DE DATOS
CONTROL ACCESO
REGISTRO DE ACCESO
INFORME DE EXCEPCIONES
CONTROL ACCESO
REGISTRO DE TRANSA
TRANSACCIONES
ORDENADOR
PERSONAL
USUARIO
SEGURIDA
DE
CIFRADO
FORMACION
CONTROLES
PROCEDIMIENTO
CONTROL ACCESO CIFRADO
CONTROL INTEGRIDAD
ORDENADOR CENTRAL
20. Formas de ProtecciónFormas de Protección::
El firewall mantiene separada su red interna (de la cual usted tiene control)El firewall mantiene separada su red interna (de la cual usted tiene control)
de diferentes tipos de redes externas (de las cual usted NO tiene control).de diferentes tipos de redes externas (de las cual usted NO tiene control).
El firewall controla la entrada y salida de trafico protegiendo su red deEl firewall controla la entrada y salida de trafico protegiendo su red de
intromisiones indeseadas.intromisiones indeseadas.
La función del firewall es ser una sólida barrera entre su red y el mundoLa función del firewall es ser una sólida barrera entre su red y el mundo
exterior. Este permite habilitar el acceso a usuarios y servicios aprobadosexterior. Este permite habilitar el acceso a usuarios y servicios aprobados..
21. AUDITORIA DE LA SEGURIDAD ENAUDITORIA DE LA SEGURIDAD EN
COMUNICACIONES Y REDESCOMUNICACIONES Y REDES
Algunos puntos complementarios a revisar son:
Tipos de redes y conexiones.
Información y programas transmitidos, y uso de cifrado.
Tipos de transacciones.
Tipos de terminales y protecciones: físicas, lógicas, llamada
de retorno.
Protección de transmisiones por fax si el contenido está
clasificado.
Protección de conversaciones de voz .
Transferencia de ficheros y controles existentes.
22. AUDITORIA DE LA CONTINUIDAD DE LASAUDITORIA DE LA CONTINUIDAD DE LAS
OPERACIONESOPERACIONES
Revisar si existe el Plan de Contingencia o Plan de
Continuidad; si es completo y actualizado, si cubre
procesos, áreas y plataformas.
Evaluar los resultados de las pruebas que se hayan
realizado.
Si las revisiones no aportan garantías suficientes, se debe
sugerir pruebas complementarias o hacerlo constar en el
informe.
Revisar la existencia de copias actualizadas de los recursos
vitales en un lugar distante y en condiciones adecuadas
23. Evaluación de la Seguridad Física yEvaluación de la Seguridad Física y
LógicaLógica
24. Consola del Operador.Consola del Operador.
La mayoría de las consolas de operadorLa mayoría de las consolas de operador
no tienen controles fuertes de accesono tienen controles fuertes de acceso
lógico y proveen un alto nivel de accesológico y proveen un alto nivel de acceso
al sistema de la computadora; por loal sistema de la computadora; por lo
tanto, la terminal debe estar ubicada entanto, la terminal debe estar ubicada en
un área asegurada físicamente.un área asegurada físicamente.
Vías de Acceso LógicoVías de Acceso Lógico
El acceso lógico a la computadora puede obtenerse a través deEl acceso lógico a la computadora puede obtenerse a través de
diversas vías. Cada vía está sujeta a niveles apropiados dediversas vías. Cada vía está sujeta a niveles apropiados de
seguridad de acceso. Los métodos de acceso incluyen losseguridad de acceso. Los métodos de acceso incluyen los
siguientes:siguientes:
Aspectos a ConsiderarAspectos a Considerar
25. Terminales en Línea.Terminales en Línea.
Las computadoras personales (PCs) se usan a menudo comoLas computadoras personales (PCs) se usan a menudo como
terminales de acceso en línea a través de un software de emulación determinales de acceso en línea a través de un software de emulación de
terminal. Esto plantea un riesgo particular ya que las PCs pueden serterminal. Esto plantea un riesgo particular ya que las PCs pueden ser
programadas para almacenar y para recordar al usuario los códigos deprogramadas para almacenar y para recordar al usuario los códigos de
acceso y las contraseñas.acceso y las contraseñas.
Procesamiento de Trabajos en Lote.Procesamiento de Trabajos en Lote.
La seguridad se logra restringiendo las personas que pueden acumularLa seguridad se logra restringiendo las personas que pueden acumular
transacciones (funcionarios de ingreso de datos) y las personas quetransacciones (funcionarios de ingreso de datos) y las personas que
pueden iniciar el procesamiento de los lotes (los operadores depueden iniciar el procesamiento de los lotes (los operadores de
computadora o el sistema automático de cronogramas de trabajo).computadora o el sistema automático de cronogramas de trabajo).
Además, se deben controlar cuidadosamente los procedimientos y/oAdemás, se deben controlar cuidadosamente los procedimientos y/o
las autorizaciones para manipular las transacciones acumuladas anteslas autorizaciones para manipular las transacciones acumuladas antes
de procesar el lote.de procesar el lote.
26. Puertos de Llamada.Puertos de Llamada.
Se logra la seguridad proporcionando un medio para identificar elSe logra la seguridad proporcionando un medio para identificar el
usuario remoto a fin de determinar la autorización de acceso.usuario remoto a fin de determinar la autorización de acceso. EstoEsto
puede ser una línea de rellamada, el uso de número de usuario de iniciopuede ser una línea de rellamada, el uso de número de usuario de inicio
de sesión y un software de control de acceso o puede requerir que unde sesión y un software de control de acceso o puede requerir que un
operador de computadora verifique la identidad del que llama y luegooperador de computadora verifique la identidad del que llama y luego
suministre la conexión a la computadora.suministre la conexión a la computadora.
Archivos de Datos.Archivos de Datos.
Hubo un tiempo en que se creía que los virus no podían infectar losHubo un tiempo en que se creía que los virus no podían infectar los
archivos de datos, pero recientemente se ha escrito que los virusarchivos de datos, pero recientemente se ha escrito que los virus
también infectan los archivos de datos. Los virus pueden diseminarsetambién infectan los archivos de datos. Los virus pueden diseminarse
rápidamente en toda una red de área local (LANrápidamente en toda una red de área local (LAN).).
27. Software de Control de Acceso.Software de Control de Acceso.
El software de control de acceso está diseñado para prevenir el accesoEl software de control de acceso está diseñado para prevenir el acceso
no autorizado a los datos, el uso de las funciones y de los programas deno autorizado a los datos, el uso de las funciones y de los programas de
sistema, actualizaciones /cambios no autorizados a los datos y detectarsistema, actualizaciones /cambios no autorizados a los datos y detectar
o impedir un intento no autorizado de entrar a los recursos de lao impedir un intento no autorizado de entrar a los recursos de la
computadora. El software de control de acceso interactúa con el sistemacomputadora. El software de control de acceso interactúa con el sistema
operativo y actúa como un control central para todas las decisiones deoperativo y actúa como un control central para todas las decisiones de
seguridad.seguridad.
SERVIDOR
CLIENTE
28. Propiedad de los Datos.Propiedad de los Datos.
El Auditor deEl Auditor de TITI puede usar esta información para determinar si dichapuede usar esta información para determinar si dicha
propiedad se ha asignado a la persona correcta.propiedad se ha asignado a la persona correcta.
EEl Auditor del Auditor de TITI puede determinar si ellos están conscientes de laspuede determinar si ellos están conscientes de las
responsabilidades implícitas en la propiedad de los datos.responsabilidades implícitas en la propiedad de los datos.
El Auditor deEl Auditor de TITI debe también revisar un muestra de descripciones dedebe también revisar un muestra de descripciones de
puestos de trabajo para asegurar que las responsabilidades y funcionespuestos de trabajo para asegurar que las responsabilidades y funciones
sean consistentes con la política de seguridad de la información.sean consistentes con la política de seguridad de la información.
El auditor debe revisar la clasificación de los datos y evaluar si la mismaEl auditor debe revisar la clasificación de los datos y evaluar si la misma
es la adecuada en la medida que se relaciona con el área que está enes la adecuada en la medida que se relaciona con el área que está en
revisión.revisión.
Aspectos a ConsiderarAspectos a Considerar
29. Los Propietarios de los DatosLos Propietarios de los Datos
Sus responsabilidades de seguridad incluyen autorizar el accesoSus responsabilidades de seguridad incluyen autorizar el acceso..
AAsegurar que estén actualizadas las reglas de acceso cuando ocurransegurar que estén actualizadas las reglas de acceso cuando ocurran
cambios de personalcambios de personal..
IInventariar periódicamente las reglas de acceso para los datos de losnventariar periódicamente las reglas de acceso para los datos de los
que son responsables.que son responsables.
Administrador de Seguridad.Administrador de Seguridad.
Los administradores de seguridad son responsables de proveer laLos administradores de seguridad son responsables de proveer la
seguridad física y lógica adecuada para los programas de ISseguridad física y lógica adecuada para los programas de IS..
LLa política de seguridad de información proveerá las directricesa política de seguridad de información proveerá las directrices
básicos bajo los cuales operará el administrador de seguridad.básicos bajo los cuales operará el administrador de seguridad.
30. Los Usuarios de Datos.Los Usuarios de Datos.
Sus niveles de acceso a la computadora deben ser autorizados porSus niveles de acceso a la computadora deben ser autorizados por
los propietarios de datos y deben ser restringidos y monitoreados por ellos propietarios de datos y deben ser restringidos y monitoreados por el
administrador de seguridad.administrador de seguridad.
Autorizaciones Documentadas.Autorizaciones Documentadas.
El acceso a los datos debe identificarse y ser autorizado por escrito.El acceso a los datos debe identificarse y ser autorizado por escrito.
El Auditor deEl Auditor de TITI puede revisar una muestra de estas autorizacionespuede revisar una muestra de estas autorizaciones
para determinar si se proveyó el nivel apropiado de autoridad porpara determinar si se proveyó el nivel apropiado de autoridad por
escritoescrito..
31. Normas de Acceso.Normas de Acceso.
El Auditor de ÍS debe revisar las normas de acceso para asegurar queEl Auditor de ÍS debe revisar las normas de acceso para asegurar que
las mismas cumplan con los objetivos de la organizaciónlas mismas cumplan con los objetivos de la organización..
QQue cumplue cumplaan con los requerimientos de las políticas para minimizar eln con los requerimientos de las políticas para minimizar el
riesgo de acceso no autorizado.riesgo de acceso no autorizado.
Revisión de las políticas, los procedimientos y las normas escritasRevisión de las políticas, los procedimientos y las normas escritas
El Auditor deEl Auditor de TITI debe revisar las políticas y los procedimientos paradebe revisar las políticas y los procedimientos para
determinar si los mismos fijan las pautas para la debida seguridad ydeterminar si los mismos fijan las pautas para la debida seguridad y
proveen un medio para asignar la responsabilidad del mantenimiento deproveen un medio para asignar la responsabilidad del mantenimiento de
un ambiente seguro de procesamiento de computadoraun ambiente seguro de procesamiento de computadora..
32. Política de PasswoardPolítica de Passwoard::
Políticas de Seguridad de Acceso LógicoPolíticas de Seguridad de Acceso Lógico
Estas pEstas políticasolíticas deben estimular la limitación del acceso lógico adeben estimular la limitación del acceso lógico a
una base de necesidad de saber. Ellas deben estimar de manerauna base de necesidad de saber. Ellas deben estimar de manera
razonable la exposición a las preocupaciones identificadas.razonable la exposición a las preocupaciones identificadas.
Conciencia y Entrenamiento Formal en SeguridadConciencia y Entrenamiento Formal en Seguridad
Promover la conciencia de la seguridad es un control preventivo. APromover la conciencia de la seguridad es un control preventivo. A
través de este proceso, los empleados se dan cuenta de sustravés de este proceso, los empleados se dan cuenta de sus
responsabilidades de mantener una buena seguridad física yresponsabilidades de mantener una buena seguridad física y
lógica.lógica. EEl Auditor del Auditor de TITI debe entrevistar una muestra representativadebe entrevistar una muestra representativa
de empleados para determinar su conciencia de la seguridad.de empleados para determinar su conciencia de la seguridad.
33. Alcance de la Auditoria a la Seguridad LógicaAlcance de la Auditoria a la Seguridad Lógica
1.1. Manejo de las Medidas de Seguridad.Manejo de las Medidas de Seguridad.
2.2. Identificación, Autenticación y Acceso.Identificación, Autenticación y Acceso.
3.3. Seguridad de Acceso a Datos en Línea.Seguridad de Acceso a Datos en Línea.
4.4. Administración de Cuentas de Usuario.Administración de Cuentas de Usuario.
5.5. Revisión Gerencial de Cuentas de Usuario.Revisión Gerencial de Cuentas de Usuario.
6.6. Control de Usuario de las Cuentas de Usuario.Control de Usuario de las Cuentas de Usuario.
7.7. Clasificación de Datos.Clasificación de Datos.
8.8. Administración Centralizada de Identificación y Derechos de Acceso.Administración Centralizada de Identificación y Derechos de Acceso.
9.9. Reportes de Actividades de Violación y Seguridad.Reportes de Actividades de Violación y Seguridad.
10.10. Manejo de IncidentesManejo de Incidentes..
11.11. Autorización de Transacción.Autorización de Transacción.
34. Se cuenta con un plan de seguridad estratégicoSe cuenta con un plan de seguridad estratégico
Se cuenta con una organización de seguridad centralizadaSe cuenta con una organización de seguridad centralizada
responsable de asegurar el acceso apropiado a los recursos delresponsable de asegurar el acceso apropiado a los recursos del
sistema.sistema.
Se cuenta con un esquema de clasificación de datos enSe cuenta con un esquema de clasificación de datos en
operación que indique todos los recursos del sistemaoperación que indique todos los recursos del sistema..
Se cuenta con perfiles de seguridad de usuario que muestrenSe cuenta con perfiles de seguridad de usuario que muestren
revisiones regulares con fines de reacreditación.revisiones regulares con fines de reacreditación.
Existen políticas y procedimientos para:Existen políticas y procedimientos para:
ConsiderandConsiderand
oo
35. La función de servicios de información cumple con los estándares deLa función de servicios de información cumple con los estándares de
seguridad relacionados con:seguridad relacionados con:
· Autenticación y acceso.· Autenticación y acceso.
· Administración de clasificación de perfiles de usuario y seguridad de· Administración de clasificación de perfiles de usuario y seguridad de
datos.datos.
· Reportes y revisión gerencial de la violación e incidentes de seguridad.· Reportes y revisión gerencial de la violación e incidentes de seguridad.
· Estándares criptográficos administrativos clave.· Estándares criptográficos administrativos clave.
· Detección de virus, solución y comunicación.· Detección de virus, solución y comunicación.
· Clasificación y propiedad de datos.· Clasificación y propiedad de datos.
Probando que:Probando que:
36. Llevando a CaboLlevando a Cabo::
Una revisión detallada de la seguridad de los sistemas de información,Una revisión detallada de la seguridad de los sistemas de información,
incluyendo evaluaciones de penetración de la seguridad, física y lógicaincluyendo evaluaciones de penetración de la seguridad, física y lógica
de los recursos computacionales, de comunicación, etc.de los recursos computacionales, de comunicación, etc.
Entrevistas a los nuevos empleados para asegurar el conocimiento y laEntrevistas a los nuevos empleados para asegurar el conocimiento y la
conciencia en cuanto a seguridad y en cuanto a las responsabilidadesconciencia en cuanto a seguridad y en cuanto a las responsabilidades
individualesindividuales..
Entrevistas a usuarios para asegurar que el acceso está determinadoEntrevistas a usuarios para asegurar que el acceso está determinado
tomando como base la necesidad y que la precisión de dicho acceso estomando como base la necesidad y que la precisión de dicho acceso es
revisada regularmente por la gerencia.revisada regularmente por la gerencia.
37. IdentificandoIdentificando::
Accesos inapropiados por parte de los usuarios a los recursos delAccesos inapropiados por parte de los usuarios a los recursos del
sistema.sistema.
Requisiciones informales o no aprobadas de acceso a los recursosRequisiciones informales o no aprobadas de acceso a los recursos
del sistemadel sistema ssoftware de monitoreo de redes que no indique a laoftware de monitoreo de redes que no indique a la
administración de redes las violaciones a la seguridad.administración de redes las violaciones a la seguridad.
Defectos en los procedimientos de control de cambios del softwareDefectos en los procedimientos de control de cambios del software
de redes.de redes.
La falta de software actualizado para la detección de virus o deLa falta de software actualizado para la detección de virus o de
procedimientos formales para prevenir, detectar, corregir y comunicarprocedimientos formales para prevenir, detectar, corregir y comunicar
contaminacionescontaminaciones..
38. 1.1. Seguridad FísicaSeguridad Física
2.2. Bajo Perfil de las Instalaciones de Tecnología de InformaciónBajo Perfil de las Instalaciones de Tecnología de Información
3.3. Escolta de VisitantesEscolta de Visitantes
4.4. Salud y Seguridad del PersonalSalud y Seguridad del Personal
5.5. Protección contra Factores AmbientalesProtección contra Factores Ambientales
6.6. Suministro Ininterrumpido de EnergíaSuministro Ininterrumpido de Energía
Alcance de la Auditoria a la Seguridad FísicaAlcance de la Auditoria a la Seguridad Física
39. •• Entrada no autorizadaEntrada no autorizada
•• Daño, vandalismo o robo a los equipos o a los documentosDaño, vandalismo o robo a los equipos o a los documentos
•• Copia o visualización de información sensiCopia o visualización de información sensibleble o patentadao patentada
•• Alteración de equipos e información sensiAlteración de equipos e información sensiblebless
•• Revelación al público de información sensiRevelación al público de información sensibleble
•• Abuso de los recursos de procesamiento de datosAbuso de los recursos de procesamiento de datos
•• ChantajeChantaje
•• FraudeFraude
Problemas y exposiciones de Acceso FísicoProblemas y exposiciones de Acceso Físico
40. Posibles PerpetradoresPosibles Perpetradores
LosLos empleadosempleados que tienen acceso autorizado o no autorizado que están:que tienen acceso autorizado o no autorizado que están:
•• Descontentos (irritados o preocupados por alguna acción emprendida porDescontentos (irritados o preocupados por alguna acción emprendida por
la organización o por la gerencia de ésta)la organización o por la gerencia de ésta)
•• En huelgaEn huelga
•• Amenazados con una acción disciplinaria o con despidoAmenazados con una acción disciplinaria o con despido
•• Se les haya notificado su despidoSe les haya notificado su despido
•• Personas ajenas interesadas o informadas, como por ejemplo losPersonas ajenas interesadas o informadas, como por ejemplo los
competidores, ladrones, el crimen organizado y los intrusoscompetidores, ladrones, el crimen organizado y los intrusos..
•• El ignorante accidental - una persona que sin saberlo, comete unaEl ignorante accidental - una persona que sin saberlo, comete una
violación (podría ser un empleado o una persona ajena).violación (podría ser un empleado o una persona ajena).
41. ** Otras preguntas y preocupaciones para considerar incluyen lasOtras preguntas y preocupaciones para considerar incluyen las
siguientes:siguientes:
•• ¿Las instalaciones de hardware están razonablemente protegidas¿Las instalaciones de hardware están razonablemente protegidas
contra las entradas forzadas?contra las entradas forzadas?
•• ¿Las llaves de las instalaciones de computadoras están controladas¿Las llaves de las instalaciones de computadoras están controladas
de una forma adecuada para reducir el riesgo de un acceso node una forma adecuada para reducir el riesgo de un acceso no
autorizado?autorizado?
•• ¿Están las terminales inteligentes de computadoras cerradas con llave¿Están las terminales inteligentes de computadoras cerradas con llave
o de otro modo aseguradas para impedir que se lleven las tarjetas, loso de otro modo aseguradas para impedir que se lleven las tarjetas, los
chips y la computadora misma?chips y la computadora misma?
•• ¿Se requieren pases autorizados de los equipos antes de que los¿Se requieren pases autorizados de los equipos antes de que los
equipos de computadora sean sacados de sus áreas normales seguras?equipos de computadora sean sacados de sus áreas normales seguras?
42. Desde el punto de vista deDesde el punto de vista de TITI, las instalaciones que deben ser, las instalaciones que deben ser
protegidas incluyen las siguientes:protegidas incluyen las siguientes:
•• El área de programaciónEl área de programación
•• La sala de computadorasLa sala de computadoras
•• Las consolas y terminales del OperadorLas consolas y terminales del Operador
•• Biblioteca de cintas, cintas, discos y todos los mediosBiblioteca de cintas, cintas, discos y todos los medios magnéticosmagnéticos
•• Salas de almacenamiento y suministrosSalas de almacenamiento y suministros
•• Sala de control de Entrada/ SalidaSala de control de Entrada/ Salida
•• ArmariosArmarios de comunicacionesde comunicaciones
43. Auditoria al Acceso FísicoAuditoria al Acceso Físico
En este recorrido se debe incluir la instalación de procesamiento deEn este recorrido se debe incluir la instalación de procesamiento de
informacióninformación..
Ubicación de todas las consolas de operadorUbicación de todas las consolas de operador
Salas de impresiónSalas de impresión
Salas de almacenamiento de computadorasSalas de almacenamiento de computadoras..
UPS/GeneradorUPS/Generador
Ubicación de todos los equipos de comunicacionesUbicación de todos los equipos de comunicaciones identificados enidentificados en
el diagrama de redel diagrama de red
Biblioteca de cintas.Biblioteca de cintas.
PC PC
44. Seguridad FísicaSeguridad Física
Controles de Acceso FísicoControles de Acceso Físico
Los controles de acceso físico están diseñados para proteger laLos controles de acceso físico están diseñados para proteger la
organización contra los accesos no autorizadosorganización contra los accesos no autorizados..
AlAlgunos de los controles de acceso más comunes:gunos de los controles de acceso más comunes:
Cerraduras, de Puerta de CerrojoCerraduras, de Puerta de Cerrojo..
Cerraduras de Puerta de CombinaciónCerraduras de Puerta de Combinación..
Cerraduras Electrónicas de PuertasCerraduras Electrónicas de Puertas..
Cerraduras Biométricas de PuertasCerraduras Biométricas de Puertas..
Bitácora ManualBitácora Manual..
Bitácora ElectrónicaBitácora Electrónica..
45. AAuditando lauditando la SSeguridad de laeguridad de la IInfraestructura denfraestructura de
lala RReded
Revisión de los Diagramas de la RedRevisión de los Diagramas de la Red
IIdentifican las conexiones de telecomunicación entre la computadora,dentifican las conexiones de telecomunicación entre la computadora,
las terminales y los dispositivos periféricoslas terminales y los dispositivos periféricos..
La Seguridad del Acceso RemotoLa Seguridad del Acceso Remoto
ElEl acceso remoto debe estar documentado y deben implementarseacceso remoto debe estar documentado y deben implementarse
para los usuarios autorizados fuera del ambiente de redpara los usuarios autorizados fuera del ambiente de red..
46. Los controles de seguridad delLos controles de seguridad del ACCESO REMOTOACCESO REMOTO deben estardeben estar
documentados y deben implementarse para los usuarios autorizadosdocumentados y deben implementarse para los usuarios autorizados
fuera del ambiente de red en el que se confía.fuera del ambiente de red en el que se confía.
•• El fírewaEl fírewalll debe negar implícitamente los servicios con excepción del debe negar implícitamente los servicios con excepción de
los que estén permitidos explícitamente.los que estén permitidos explícitamente.
•• El firewaEl firewalll debe poder filtrar el acceso de llamadas de entrada.l debe poder filtrar el acceso de llamadas de entrada.
•• Si el fírewaSi el fírewalll usa un sistema operativo, éste debe ser seguro.l usa un sistema operativo, éste debe ser seguro.
•• La fortaleza del fírewaLa fortaleza del fírewalll y la validez de su funcionalidad y losl y la validez de su funcionalidad y los
parámetros deben poder ser verificadosparámetros deben poder ser verificados
48. Política de SeguridadPolítica de Seguridad
Clasificación de la Información (Sensible, Confidencial, Interna y
Pública) y su destrucción (non-disclosure).
Evaluación de riesgos o Risk Assessment (confidencialidad,
integridad, criticidad).
Gestión de Recursos Humanos alineados a la política y
programa de entrenamiento.
Gestión y control de servicios de “outsourcing”.
Controles operativos y perfiles (integridad de la info.).
Controles de acceso y uso de todos los recursos.
Gestión de antivirus, patches y fixes.
Incidentes de seguridad a ser controlados, manejo y
escalamiento de los mismos.
Metodología de revisión de seguridad y su aplicabilidad.
49. Política de Seguridad ... Cont.Política de Seguridad ... Cont.
Integridad, almacenamiento y recuperación del software, Control
de Cambios (desarrollo, testeo y producción).
Estándares de desarrollo, diseño e implementación de web.
Seguridad y arquitectura de la red interna-externa y administración
remota, uso del mail.
Seguridad de las estaciones de trabajo y del área.
Configuración de seguridad del software de base (S.O., DBMS).
Políticas y procedimientos para el manejo de backups y
documentación.
Logs de seguridad y transaccionales (frecuencia).
Medidas de seguridad física.
Políticas y procedimientos para el manejo de contingencia
(Continuidad de negocios).
52. Valor de los Recursos y la Información aValor de los Recursos y la Información a
ProtegerProteger
La seguridad debe ser una de las prioridades de la Dirección deLa seguridad debe ser una de las prioridades de la Dirección de
Tecnologías de Información. ÉTecnologías de Información. Ésta se divide en cinco etapas:sta se divide en cinco etapas:
1.1. Planeación de las necesidades de seguridad.Planeación de las necesidades de seguridad.
2.2. Análisis de riesgos.Análisis de riesgos.
3.3. Análisis de costo-beneficio.Análisis de costo-beneficio.
4.4. Creación de políticas que reflejen las necesidades.Creación de políticas que reflejen las necesidades.
5.5. Implementación.Implementación.
53. PPrincipios de Importancia Fundamentalrincipios de Importancia Fundamental::
• Concienciación sobre seguridad y políticas debe de ir de arribaConcienciación sobre seguridad y políticas debe de ir de arriba
hacia abajo en una organizaciónhacia abajo en una organización..
• La seguridad efectiva quiere decir proteger la información.La seguridad efectiva quiere decir proteger la información.
Todos los planes, políticas y procedimientos deben reflejar laTodos los planes, políticas y procedimientos deben reflejar la
necesidad de protegernecesidad de proteger sus manifestacionessus manifestaciones
54. Implantación de Medidas de SeguridadImplantación de Medidas de Seguridad
1.1. Planeación de las Necesidades de SeguridadPlaneación de las Necesidades de Seguridad
Se tiene que tomar en cuenta los siguientes tipos de necesidades, ySe tiene que tomar en cuenta los siguientes tipos de necesidades, y
prioritizarlas de acuerdo al orden de importancia colocándolas enprioritizarlas de acuerdo al orden de importancia colocándolas en
una tabla que refleje el tipo y la prioridad propuestauna tabla que refleje el tipo y la prioridad propuesta..
Confidencialidad.-Confidencialidad.- Proteger la información para que nadieProteger la información para que nadie
pueda leerla o copiarlapueda leerla o copiarla..
Integridad de Datos.-Integridad de Datos.- Proteger la información (incluyendoProteger la información (incluyendo
programas) para evitar que se borre o altere de cualquierprogramas) para evitar que se borre o altere de cualquier
maneramanera..
55. Disponibilidad.-Disponibilidad.-Proteger los servicios para que no seProteger los servicios para que no se
degraden o dejen de estar disponibles sidegraden o dejen de estar disponibles si la consecuenciala consecuencia
puede ser tan dañina como perder información que estépuede ser tan dañina como perder información que esté
guardada en el sistemaguardada en el sistema..
Consistencia.-Consistencia.- Si los programas o el equipo repentinamenteSi los programas o el equipo repentinamente
se comportan en forma distintase comportan en forma distinta en especial después de unaen especial después de una
actualización o de la eliminación de un error, puede suceder unactualización o de la eliminación de un error, puede suceder un
desastredesastre..
Control.- Reglamentar el acceso al sistema.Control.- Reglamentar el acceso al sistema.
Auditoria.- Si lAuditoria.- Si los usuarios autorizados a veces se equivocan,os usuarios autorizados a veces se equivocan,
o cometen actos maliciososo cometen actos maliciosos,, es necesario determinar qué sees necesario determinar qué se
hizo, quién lo hizo y qué fue afectado. La única forma de lograrhizo, quién lo hizo y qué fue afectado. La única forma de lograr
esto es tener un registro inexpugnable de la actividad queesto es tener un registro inexpugnable de la actividad que
sucede en el sistemasucede en el sistema..
56. 2.2. Análisis de RiesgosAnálisis de Riesgos..
El análisis de riesgos es una parte muy importante del procesoEl análisis de riesgos es una parte muy importante del proceso
de seguridad informática. No se puede proteger algo si no sede seguridad informática. No se puede proteger algo si no se
sabe contra qué hay que protegerlo.sabe contra qué hay que protegerlo.
Se cuenta con tres etapas para reducir los riesgos:Se cuenta con tres etapas para reducir los riesgos:
a.a. Identificación de los activosIdentificación de los activos::
Se debe hacer una lista de todo lo que se quiere protegerSe debe hacer una lista de todo lo que se quiere proteger,,
incluidosincluidos intangibles (capacidad de seguir operando, imagenintangibles (capacidad de seguir operando, imagen
públicapública)). Para determinar si algo es valioso hay que pensar. Para determinar si algo es valioso hay que pensar
en lo que costaría en pérdida de ingresos, tiempo perdido oen lo que costaría en pérdida de ingresos, tiempo perdido o
costo de reparación o reemplazo.costo de reparación o reemplazo.
57. b.b. Identificación AmenazasIdentificación Amenazas::
Algunas amenazas serán ambientales, como incendios,Algunas amenazas serán ambientales, como incendios,
inundaciones, etc. Otras provienen del personal, alumnos yinundaciones, etc. Otras provienen del personal, alumnos y
de extrañosde extraños..
c.c. Cálculo de los riesgosCálculo de los riesgos ::
Cuando se han identificado los riesgos debe estimarse laCuando se han identificado los riesgos debe estimarse la
probabilidad de que ocurra cada uno de ellos, se recomiendaprobabilidad de que ocurra cada uno de ellos, se recomienda
considerar ocurrencias anualesconsiderar ocurrencias anuales..
58. 3.3. Análisis de CAnálisis de Costo-osto-BBeneficioeneficio..
Al terminar el análisis de riesgos es necesario asignar un costo aAl terminar el análisis de riesgos es necesario asignar un costo a
cada riesgo, y determinar el costo de eliminar el riesgo. Unacada riesgo, y determinar el costo de eliminar el riesgo. Una
manera para calcular las pérdidas se toma el costo de reparar omanera para calcular las pérdidas se toma el costo de reparar o
sustituir el objetosustituir el objeto..