Capitulo 5: Proteccin de los Activos de Informacin

I. IMPORTANCIA DE LA GESTIN DE LA SEGURIDAD DE LA INFORMACIN

1) Elementos clave de la gestin de la seguridad de la informacin Compromiso y soporte de la alta direccin, son importantes para el xito en el establecimiento y continuidad de un programa de gestin de la seguridad de la informacin. Polticas y procedimientos, definir el valor de los activos de informacin, la necesidad de seguridad, una jerarqua de clases de activos sensibles y crticos. Organizacin, la poltica de seguridad de la informacin debe proporcionar una orientacin general sobre la asignacin de funciones y responsabilidades de seguridad en la organizacin. Concientizacin de la seguridad y formacin, todos los empleados de una organizacin deben recibir una capacitacin apropiada y actualizaciones peridicas para promover el conocimiento y el cumplimiento de las polticas y procedimientos de seguridad que estn por escrito. Para los nuevos empleados, esta capacitacin debe ocurrir antes de que se les otorgue acceso a la informacin o a los servicios. Monitoreo y cumplimiento, los Auditores de SI estn generalmente encargados de valorar, peridicamente, la efectividad de un programa de seguridad de la organizacin. Tratamiento y respuesta a incidentes, un incidente de seguridad informtica es un evento que afecta adversamente el procesamiento del uso de la informtica. Esto incluye prdida de confidencialidad de la informacin, causar inestabilidad de la integridad de la informacin, negacin de servicio, acceso no autorizado a los sistemas, mal uso de los sistemas de informacin, robo y dao a los sistemas. Otros incidentes incluyen ataques de virus, intrusiones por personas dentro o fuera de la organizacin.

2) Inventario y clasificacin de los activos de informacin Un control efectivo requiere un inventario detallado de los activos de informacin. El registro de inventario de cada activo de informacin debe incluir: Una identificacin clara y distintiva del activo, grado de sensibilidad y criticidad Su valor relativo para la organizacin Su ubicacin Su clasificacin de seguridad/riesgo, reducir riesgo y costo de sobreproteger o subproteger Su grupo de activos (cuando el activo forma parte de un sistema ms grande de informacin) Su propietario Su custodio designado 3) Permisos de acceso al sistema El acceso fsico o lgico debe basarse en los principios de menor privilegio y segregacin de funciones. II. ACCESO LGICO Los controles de acceso lgico son el medio primario para gestionar y proteger los activos de informacin porque establecen y sustancian las polticas y procedimientos creados para proteger estos activos y estn diseados para reducir los riesgos hasta un nivel aceptable para una organizacin. Los auditores de SI necesitan entender esta relacin, deben poder analizar y evaluar la efectividad del control de acceso lgico para lograr los objetivos de seguridad de la informacin y evitar las prdidas resultantes de las exposiciones a riesgos.

1) Exposiciones de acceso lgico Son un tipo de exposicin que existen a partir de la explotacin accidental o intencional de las debilidades de control de acceso, son las actividades no autorizadas (intencionales o no intencionales) que interfieren con el procesamiento normal Existen muchas exposiciones como: Fuga de datos, interceptacin de lneas, caballos de Troya, virus, gusanos, entre otras 2) Ingeniera social El factor humano es considerado el eslabn ms dbil en la cadena de seguridad de la informacin. La ingeniera social es el lado humano de irrumpir en un sistema de computadora. El mismo se basa en las relaciones interpersonales y el engao. Esto puede ocurrir si un empleado sin saberlo provee informacin confidencial. El mejor medio de defensa de ingeniera social es un programa continuo de toma de concientizacin de la seguridad, donde todos los empleados y terceros (que tienen acceso a las instalaciones de la organizacin) son educados sobre los riesgos involucrados en caer presa de los ataques de ingeniera social. 3) Software de control de acceso lgico Su propsito es impedir el acceso y la modificacin no autorizados a los datos valiosos de una organizacin y el uso de las funciones crticas del sistema. Asegura la confidencialidad, la integridad y la disponibilidad de los recursos de informacin.

III.

SEGURIDAD DE LA INFRAESTRUCTURA DE LA RED Los siguientes son controles sobre la red de comunicacin: Las funciones de control de la red deben estar separadas de otras incompatibles y ser rotadas peridicamente. El software de control de redes debe restringir el acceso del operador para que no realice ciertas funciones y debe mantener una pista de auditora de todas las actividades del operador. Las pistas de auditora deben ser revisadas peridicamente por la gerencia de operaciones para detectar cualquier actividad no autorizada de operacin en la red. Las pistas de auditora son consideradas nicamente despus de que los problemas han ocurrido. Las normas y protocolos de operacin de la red deben ser documentados y deben estar a disposicin de los operadores y deben ser revisados peridicamente para asegurar su cumplimiento.

1. Seguridad de la LAN Para llegar a un total entendimiento de la LAN, el Auditor de SI debe identificar y documentar lo siguiente: Topologa de la LAN y diseo de red El administrador de la LAN/propietario de la LAN Las funciones que desempean el administrador/propietario de la LAN Los diferentes grupos de usuarios de la LAN Las aplicaciones informticas usadas en la LAN Los procedimientos y las normas relativas al diseo de la red, soporte, perfiles de acceso y seguridad de los datos

2. Seguridad cliente/servidor El Auditor de SI podra asegurarse que estn instaladas las tcnicas de control siguientes: Asegurar acceso a los datos o la aplicacin en ambientes cliente/servidor se puede lograr inhabilitando la unidad de disco floppy. Las estaciones de trabajo sin disco impiden que el software de control de acceso sea evadido. Los dispositivos de monitoreo de red pueden ser usados para inspeccionar la actividad proveniente de usuarios conocidos o desconocidos. Como este es un control detectivo, si el administrador de la red no monitorea o no mantiene estos dispositivos, la herramienta se vuelve intil contra los intrusos no autorizados Las tcnicas de encriptacin de datos (encriptacin simtrica o asimtrica) pueden ayudar a proteger los datos sensibles o propietarios contra los accesos no autorizados. El uso de programas de control de acceso a nivel de aplicacin, es un control gerencial que restringe el acceso, limitando a los usuarios a las funciones que stos necesiten para su realizar sus tareas.

3. Amenazas de seguridad inalmbrica y mitigacin de riesgos Los riesgos en las redes inalmbricas son iguales a la suma del riesgo de operar una red almbrica ms los nuevos riesgos introducidos por las debilidades en los protocolos inalmbricos. Para mitigar estos riesgos, una organizacin debe adoptar medidas y prcticas de seguridad que ayuden a llevar sus riesgos hasta un nivel manejable. Las debilidades en los protocolos inalmbricos aumentan la amenaza de revelacin de informacin sensible. Muchas redes inalmbricas o bien no son seguras o usan algoritmos obsoletos de encriptacin. Formas en que entidades maliciosas pueden lograr tener acceso a los dispositivos inalmbricos: War Driving: consiste en conducir alrededor de negocios o de vecindarios residenciales explorando con un computador porttil, software de herramientas de hacking y a veces con un GPS en busca de nombres de redes inalmbricas. War Walking: muy similar a war driving; sin embargo, no se usa un vehculo. El hacker potencial camina en los alrededores del vecindario con un dispositivo de mano o con una PDA. War Chalking, consiste en marcar una serie de smbolos en las aceras y paredes para indicar puntos cercanos de acceso inalmbrico. Estas marcas se usan para identificar hotspots, donde otros usuarios de computadora pueden conectarse de manera inalmbrica con Internet y sin costo alguno

4. AMENAZAS Y SEGURIDAD DE INTERNET Los Auditores de SI deben entender los riesgos y los factores de seguridad que se necesitan para asegurar que existan controles apropiados cuando una compaa se conecte a Internet.

IV.

AUDITORA DEL MARCO GENERAL DE LA GESTIN DE SEGURIDAD DE LA INFORMACIN o El auditor de SI debe revisar las polticas y procedimientos para determinar si los mismos fijan la debida seguridad y proveen un medio para asignar responsabilidad para mantener un ambiente seguro de procesamiento de computadora. El auditor de SI debe entrevistar una muestra de empleados para determinar su conocimiento general. El auditor de SI puede usar informacin para determinar si se ha asignado la propiedad debida y si el propietario de los datos es consciente de la asignacin, tambin asegurar que las responsabilidades y tareas sean consistentes con la poltica de seguridad de informacin. El auditor debe revisar la clasificacin de datos y evaluar si es apropiada, en la medida que se relaciona con el rea bajo revisin.

o o

1. AUDITORA AL ACCESO LGICO Cuando se evalan los controles de acceso lgico el Auditor de SI debe: Obtener un entendimiento general de los riesgos de seguridad que enfrenta el procesamiento de la informacin Documentar y evaluar los controles sobre las vas potenciales de acceso al sistema Probar los controles sobre las vas de acceso para determinar que estn funcionando y que son efectivas aplicando las tcnicas apropiadas de auditora. Evaluar el ambiente de control de acceso para determinar si se logran los objetivos de control analizando los resultados de las pruebas y otras evidencias de auditora.

El Auditor de SI debe evaluar cada componente y ver si est debidamente implementado y si tiene la debida seguridad de acceso fsico y lgico. El personal de sistemas es una fuente valiosa de informacin para que el Auditor de SI pueda llegar a entender la seguridad. Para determinar quines son estas personas, el Auditor de SI debe reunirse con el gerente de SI y revisar los organigramas y las descripciones de los puestos de trabajo. Las personas clave incluyen el administrador de seguridad, el gerente de control de la red y el gerente de software de sistemas.

2. TCNICAS PARA PROBAR LA SEGURIDAD Los auditores pueden usar diferentes tcnicas para probar la seguridad: Tarjetas y Llaves de las Terminales, El auditor de SI puede tomar una muestra de estas tarjetas o llaves y tratar de entrar ms all de donde est autorizado Identificacin de Terminales, realizar un inventario de los terminales, en busca de terminales registrados, faltantes o adicionales. El Auditor de SI debe seleccionar una muestra de terminales para asegurar que hayan sido identificadas en el diagrama de la red. Identificadores de Inicio de Sesin (Logon ID) y Contraseas Para probar la confidencialidad, el Auditor de SI puede tratar de adivinar las contraseas de empleados, pero de forma discreta para evitar que los empleados se disgusten. El Auditor de SI debe hacer un recorrido de las reas de trabajo de los usuarios finales y de los programadores y ver si hay contraseas pegadas a los lados de las terminales, dentro de las gavetas de los escritorios o ubicadas en los archivos de tarjetas. Otra fuente de informacin confidencial es la papelera. El Auditor de SI podra considerar ir

por todas las papeleras de la oficina en busca de informacin confidencial y de contraseas.

V.

AUDITORA A LA SEGURIDAD DE INFRAESTRUCTURA DE RED Cuando se efecta una auditora a la infraestructura de red, el auditor de SI debe: Revisar los diagramas de red esto le permite al auditor determinar si los controles de acceso fsico y lgico estn vigentes, e inventariar las diversas conexiones de terminales para asegurar que el diagrama sea correcto. Identificar el diseo de red implementado, incluyendo la estrategia de IP usada, la segmentacin de enrutadores y de switches, configuraciones y protocolos WAN. Determinar que existen las polticas, normas, procedimientos y orientacin de los ambientes de la localidad sobre la gestin y el uso de la red, que han sido distribuidas al personal, y que este personal ha recibido la capacitacin pertinente. Identificar quin es el responsable de la seguridad y operacin de las conexiones de Internet, y evaluar si tiene suficientes conocimientos y experiencia para asumir dicha funcin. Determinar si se han considerado los problemas legales que surgen del uso de la Internet. Revisar los procedimientos del administrador de red para asegurar que los componentes del hardware y del software estn actualizados en respuesta a nuevas vulnerabilidades.

1. AUDITORA AL ACCESO REMOTO El uso remoto de los recursos de informacin mejora la productividad del negocio, pero genera problemas de control y reas de atencin para la seguridad. En este sentido, los auditores de SI deben determinar que todas las capacidades de acceso remoto usadas por una organizacin provean una seguridad efectiva para los recursos de informacin de la organizacin. Los controles de seguridad de acceso remoto deben ser documentados e implementados, los auditores de SI deben revisar los puntos de acceso para verificar que existen los controles apropiados

Auditora a los "Puntos de Presencia" de Internet Cuando se hace una auditora de la presencia de una organizacin en la Internet, el Auditor de SI debe revisar: Correo electrnico Mercadeo Canal de ventas/comercio electrnico Canal de entrega de bienes/servicios Recoleccin de informacin

Pruebas de Penetracin de la Red Un auditor de SI usa las mismas tcnicas que un hacker, se denominan pruebas de penetracin, pruebas de intrusin o hacking tico. ste es un mtodo efectivo de identificar los riesgos de tiempo real para un ambiente de procesamiento de informacin. Durante la prueba de penetracin, un auditor trata de evadir las caractersticas de seguridad de un sistema y explota las vulnerabilidades para tener acceso que de otro modo sera no autorizado.

VI.

EXPOSICIONES Y CONTROLES AMBIENTALES

1. Auditoria a los controles ambientales Detectores de Agua y de Humo Visitar la sala de cmputo y verificar visualmente la presencia de detectores de agua y de humo. Extintores Manuales de Incendio Verificar que los extintores manuales de incendio estn en lugares estratgicos en todo el centro, estn muy visibles y deben ser inspeccionados anualmente. Sistemas de Supresin de Incendios Los sistemas de supresin de incendios son costosos de probar y por tanto limitan la capacidad del Auditor de SI de determinar su condicin de operacin. Los Auditores de SI pueden necesitar limitar sus pruebas a revisar la documentacin para asegurar que el sistema haya sido inspeccionado y probado dentro del ltimo ao.

VII.

EXPOSICIONES Y CONTROLES DE ACCESO FSICO

1. CONTROLES DE ACCESO FSICO Diseados para proteger la organizacin contra los accesos no autorizados, por ello deben limitar el acceso slo a las personas que estn autorizadas por la gerencia. Algunos controles de acceso: Las cerraduras de pestillo Cerraduras de combinacin (cipher locks) Cerraduras de puertas electrnicas Cerraduras biomtricas Registro (logging) electrnico Insignias o carns de identificacin (IDs fotogrficas) Acceso controlado de visitantes Personal afianzado Puertas esclusa Ventanas No Publicitar la ubicacin de las reas sensibles Punto nico de entrada controlado Cmaras de video Guardias de seguridad Sistema de alarma Carretilla segura de distribucin de reportes/documentos Registro manual, Se debe exigir que todos los visitantes firmen un libro de visitantes indicando su nombre, compaa que representan, motivo de su visita y a quin van a ver. El registro se hace generalmente en la recepcin y a la entrada de la sala de computadoras. VIII. COMPUTACIN MVIL Los siguientes controles reducirn el riesgo de revelacin de datos sensibles almacenados en una laptop: Grabar o marcar un nmero de serie, nombre y logo de compaa en una laptop Usar un sistema de acerrojado de cable o un sistema de acerrojado con un detector de movimiento que suene una alarma audible. Hacer copias de seguridad de los datos crticos o sensibles peridicamente Encriptar datos usando software conocido de encriptacin Asignar contraseas a archivos individuales para prevenir que sean abiertos por una persona no autorizada. Establecer un equipo de respuesta a robo y desarrollar procedimientos para continuar cuando una laptop fuera robada.

Proteccin de los Activos de Informacin Versus auditorias del libro de Piattini

Auditoria de Aplicaciones 445 Auditoria de Redes 423 Auditoria de la Seguridad 389 Auditoria de la Calidad 361 Auditoria de Tcnicas de Sistemas 335 Auditoria del mantenimiento 295 Auditoria de la explotacin 231 Auditoria Fsica 181 Auditoria de la ofimtica 197