Documente Academic
Documente Profesional
Documente Cultură
Dedicatoria
Este trabajo de tesis est enteramente dedicado a m familia: Jess Fuentes, Rosa Colorado, Evangelina, Len, Sergio y Jess. Agradezco por todo lo que han hecho por m; por su confianza, apoyarme en todos mis sueos y locuras. Ustedes son la base m vida.
Agradecimientos
A mi padre por mostrarme el camino, por estar conmigo aunque la distancia nos separe, a mi madre por su amor, dedicacin, protegernos siempre con sus grandes enseanzas y mis abuelos, Agripina y Pablo a quienes perdi en este periodo, me ensearon que a pesar de las circunstancias siempre se puede decidir y que podemos crear ms dinero pero nunca ms tiempo.
A mis hermanos de sangre, Evangelina por regalarnos la sonrisa de Len y Jess por traerme de regreso, y los hermanos que la vida me regal, Sergio e Ismael por ayudarme incondicionalmente, en experimentos y sin importar el horario.
A mis mejores Amigos y compaeros de estudio, por todo lo vivido y los logros que seguramente nos esperan como profesionales.
A los maestros que han marcado m vida para bien, no agrego nombres pues todos son importantes, ser parte de la primera generacin de la UTCV me ha brindado la oportunidad de conocer grandes profesionales, que ms que conocimiento me ensearon a ser autodidacta. Gracias por las asesoras.
A la asesora acadmica ISC. Eira Leonor Gonzlez por su seguimiento y apoyo de la estada y a Propaga, por las facilidades y darme la oportunidad.
Finalmente quiero agradecer a todas las personas que me han ayudado a llegar hasta este momento de m vida. Y aun as a los que sirvieron como barreras, gracias por hacerme ms fuerte.
Nombre del Proyecto: Auditora Interna en la Seguridad de la Informacin con base en las normas de la serie ISO/IEC 27000 en la Empresa Propaga
NDICE
Introduccin ............................................................................................................... 8 Resumen ..................................................................................................................... 9
Captulo 1 Antecedentes...........................................................................................11 1.1 1.2 1.3 1.4 Historia de la Empresa................................................................................11 Misin ..........................................................................................................11 Visin ...........................................................................................................11 Valores .........................................................................................................11
Captulo 2 Planteamiento del problema ..................................................................13 2.1 2.2 2.3 2.4 2.5 2.6 Justificacin ................................................................................................14 Objetivo General .........................................................................................15 Objetivos Especficos .................................................................................15 Alcance ........................................................................................................16 Factibilidad financiera ................................................................................17 Factibilidad tcnica .....................................................................................17
Captulo 3 Metodologa ...........................................................................................19 3.1 Planificacin y estudio preliminar ..................................................................19 3.1.1 Visitas a la empresa ............................................................................................... 20 3.1.2 Elaboracin de formatos para informe ................................................................ 20 3.1.3 Realizacin de checklist ........................................................................................ 21 3.2 Evaluacin de riesgos en la seguridad de la informacin en: ......................21 3.2.1 Instalaciones fsicas ............................................................................................... 21 3.2.2 Hardware ................................................................................................................. 21 3.2.3 Software ................................................................................................................... 22 3.2.4 3.3 Recursos humanos .......................................................................................... 22
3.3.1 Reunin de evidencias .......................................................................................... 23 3.3.3 Identificacin de vulnerabilidades en la seguridad de la informacin ............ 23 3.4 Resultados...................................................................................................24
3.2 Presentacin del informe final ................................................................................. 24 3.3 Creacin de material para capacitacin de usuarios ........................................... 24 3.5 Cronograma de Actividades y producto ........................................................22
Captulo Implementacin de la auditora ........................................................26 4.1 Planificacin y estudio preliminar ..................................................................26 4.1.1 Visitas a la empresa .............................................................................................. 26 4.1.2 Elaboracin de formatos para informe ................................................................ 27 4.1.2.1 Check-List Instalaciones fsicas................................................................... 31 4.1.2.2 Check-List Hardware ..................................................................................... 33 4.1.2.3 Check-List Software........................................................................................ 35 4.1.2.4 Check-List Recursos Humanos .................................................................... 38 4.2 Evaluacin de riesgos en la Seguridad de la Informacin .......................39
4.2.1 Instalaciones Fsicas .............................................................................................. 40 4.2.2 Hardware ................................................................................................................. 43 4.2.3 Software ................................................................................................................... 46 4.2.4 Recursos Humanos............................................................................................... 51 4.3 4.3 Examen detallado de reas criticas ...........................................................54 Reunin de evidencias ........................................................................................ 55
4.4.1 Realizacin del informe final y recomendaciones ............................................. 62 4.4.2 Presentacin del informe final .............................................................................. 68 Bibliografa ................................................................................................................69 Referencias Web ....................................................................................................69 Glosario .....................................................................................................................70
Checklist 1 Instalaciones fsicas. ______________________________________ Checklist 2 Hardware. ________________________________________________ Checklist 3 Software. ________________________________________________ Checklist 4 Recursos Humanos. _______________________________________
43 46 51 54
Cronograma de actividades y producto. ________________________________ 22 Diagrama 1 CRMR: reas de aplicacin de la auditora.____________________ 20 Diagrama 2 Flujo de informacin. ______________________________________ 56
Formatos 1 Informe final. _____________________________________________ Formatos 2 Checklist Instalaciones Fsicas. _____________________________ Formatos 3 Checklist Hardware. _______________________________________ Formatos 4 Checklist Software.________________________________________ Formatos 5 Checklist Recursos Humanos. ______________________________
30 33 34 37 39
Grfica 1Resultados de auditora en Instalaciones Fsicas. _________________ Grfica 2 Resultado de Auditora en Hardware. ___________________________ Grfica 3 Resultado de auditora en Software.____________________________ Grficas 4 Resultado de Auditora en Recursos Humanos. _________________
58 59 60 61
Introduccin
Hace varias dcadas se public el cuento No tengo boca y debo gritar (Ellison, 1967) el tema principal era un software que cobr conciencia de s mismo y que vio en el hombre una gran amenaza (por la informacin que recibi), por lo que decidi eliminarlo. De hecho la pelcula The Terminator basa gran parte de su trama en la ya mencionada obra, no es que ahora la tecnologa se haya revelado contra el hombre, pero se debe aceptar que en esta poca dependemos totalmente de herramientas informticas, para hacer las operaciones ms rpidas, donde uno de los protagonistas es la informacin pues es de acuerdo a esta determina las acciones a realizar de la maquina o software, sin importar si su funcin sea buena o negativa para los usuarios. La informacin es el motor de toda empresa, gracias a esta se puede conocer el mercado al que se dirige la organizacin, contactar con clientes potenciales, tomar decisiones que nos lleven a lograr los objetivos y contar con informacin ntegra conlleva a tener una gran ventaja sobre la competencia. Para las empresas la recoleccin de informacin es una oportunidad que se obtiene a travs de proveedores, clientes y redes sociales, es tan importante como el dinero y vital para que la empresa se mantenga funcionando. En los ltimos aos se ha intensificado el robo de la informacin incluso en altos niveles corporativos, debido a la falta seguridad en las redes y sistemas de informacin. En el presente documento se plantea una Auditoria Interna en Seguridad de la Informacin con base en las normas de la serie ISO/IEC 27000. de
Resumen
Este trabajo de tesis se realiz con el objetivo de conocer el estado de la seguridad de la informacin (SI) en la empresa Propaga, con especial nfasis en el hardware, software, instalaciones fsicas y recursos humanos. Se utiliz las normas de la serie ISO/IEC 27000 y CRMR. Los materiales utilizados fueron en hardware: Computadoras, cmara fotogrfica, scanner y en software: Adobe Fireworks, editor de texto y Prezi. Las tcnicas aplicadas fueron: la observacin y checklist donde se investig cuales eran los procesos de monitoreo, fallas, intercambio de informacin con externos, privilegios de usuarios, contraseas, alarmas y dems caractersticas que puedan tener relacin con alguna deficiencia en la SI. Con base a los resultados obtenidos mediante la presentacin de la evidencia ante los criterios de la auditora se recomienda: capacitar a los usuarios de forma permanente para que estos conozcan tcnicas para salvaguardar la informacin y mejoren as su desempeo en la empresa. As como crear los planes de contingencia y polticas de la SI enfocados a salvaguardar la informacin de clientes, con lo anterior mejorara la calidad y servicio de Propaga.
10
Captulo 1 Antecedentes
1.1
Historia de la Empresa
Propaga es una empresa ubicada en la ciudad de Veracruz, inicio sus operaciones en el ao 1990 en un concepto de startup 1 , su producto principal es la publicidad y promocin de la empresas en todo el estado, actualmente distribuye 80,000 ejemplares impresos por semana de sus clientes (siendo Soriana, Grupo Waldos, Bodega Aurrera y Ofix los clientes ms importantes) y cuenta con 20 empleados, se enfoca a un mercado muy generalizado y tiene alianzas con empresas nacionales para mayor cobertura.
1.2
Misin
Propaga es una empresa comercial de diseo, publicidad y promocin a nivel estatal, creando valor para los clientes.
1.3
Visin
Ser una empresa lder en el mercado desarrollando e innovado servicios de diseo, publicidad y promocin.
1.4
Valores
Trabajo en equipo: Sumamos esfuerzos para maximizar resultados. Compromiso: Creamos y obtenemos la satisfaccin de nuestros clientes. Orientacin al Cliente: Nos relacionamos a largo plazo con nuestros clientes, que son nuestra razn de ser.
Start-up o incipiente es una empresa con una historia de funcionamiento limitado, que se distingue por su perfil de riesgo / recompensa y sus grandes posibilidades de crecimiento (escalabilidad).
11
12
13
2.1 Justificacin
La auditoria interna en la seguridad es el inicio de toda empresa para mejorar y asegurar la seguridad de la informacin. Tambin es una herramienta til para evaluar y monitorear los procesos que se ejecutan en la organizacin garantizando a los clientes la confidencialidad, disponibilidad e integridad de su publicidad. Para resolver esta problemtica Propaga desea realizar una auditoria interna, con el objetivo principal de mantener el control en el Hardware, Software, seguridad fsica y recursos humanos. La auditora interna a desarrollar ser con base en las normas de la serie ISO/IEC 27000 2 que ayudarn a gestionar una mejor seguridad de la informacin, estas normas pueden adaptarse a cualquier empresa sin importar su tamao, adems de que son normas internacionales auditables que definen los requisitos para un sistema de gestin de la seguridad de la informacin y cuenta un enfoque por
procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar la seguridad en la informacin. A la par se ha establecido crear una capacitacin bsica por medio de cursos guiados (podrn ser usados por el personal existente y nuevas contrataciones), de esta forma se pretende que los usuarios comprendan el valor de la seguridad de la informacin desde sus puestos, conocer cuales son las nuevas polticas a seguir y as mejorar su desempeo laboral. El objetivo de la auditora interna es tener el control en la seguridad de la informacin en Propaga, como una empresa tendr un valor agregado, para los
La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
14
clientes es necesario que los encargados de su publicidad manejen confidencialidad y utilicen su informacin con responsabilidad sin intromisin de terceros. El presente proyecto tendr un gran impacto de mediano a largo plazo, lo posibles beneficios sern los siguientes: Evitar la fuga de clientes. Control sobre la usabilidad y disponibilidad de la informacin. El personal utilizar de forma adecuada la informacin. Eficacia en la gestin de la informacin. Los dispositivos de almacenamiento contarn con respaldo. Plan de contingencias contra la prdida de informacin. Las computadoras tendrn mayor proteccin en caso de virus u otros ataques. Se contar con restriccin por medio de usuarios y contraseas para informacin privilegiada. 2.2 Objetivo General La alumna realizar una auditora interna en la seguridad de la informacin en la empresa Propaga, con base en las normas de la serie ISO/IEC 27000, con el fin mejorar la gestin de informacin en el hardware, software y recursos humanos, en el periodo de estada Enero-Abril 2014. 2.3 Objetivos Especficos Visitar a Propaga para realizar un estudio preliminar. Crear un plan de trabajo para llevar a cabo la auditora. Creacin de formatos para la evaluacin de la auditora (informes) y checklist. Evaluacin de instalaciones fsicas para detectar posibles vulnerabilidades en la infraestructura de la empresa.
15
Evaluacin del Hardware para conocer las caractersticas y estado fsico del equipo de cmputo.
Evaluacin de los recursos humanos para determinar su necesidad de formacin y proponer los cambios necesarios actitud, habilidades, o conocimientos. del comportamiento,
Identificar la causa de problemticas derivadas de la falta de control en la informacin para encontrar soluciones que ayuden a erradicarlas.
Documentar un informe final para incluir una propuesta de mejora. Creacin de material para capacitacin de usuarios para que conozcan la importancia de la SI y sean implementadas las mejoras en la empresa.
2.4 Alcance El proyecto de estada que ser realizado el periodo de Enero-Abril del 2014 abarcar una auditoria informtica interna en la seguridad de la informacin con base en las normas de la serie ISO/IEC 27000 en la empresa Propaga, con el objetivo de realizar recomendaciones de mejora las cuales se vern reflejados en posibles polticas de seguridad y plan de contingencias. Los puntos a auditar sern los siguientes: De las instalaciones fsicas se evaluar: Instalaciones elctricas y cableadas de la red de datos. Sistemas de proteccin a dispositivos de almacenamiento. Sistemas contra desastres naturales.
16
De recursos humanos se evaluar: Uso de la informacin. Desempeo de su funcin. Trabajo e interaccin con los otros. Nivel de conocimiento sobre seguridad informtica.
2.5 Factibilidad financiera Se prev que la auditoria informtica interna en la seguridad de la informacin
generar un mnimo costo de auditoria para la empresa, ya que es un proyecto de estada como parte del proceso de titulacin. No obstante la empresa est comprometida a cubrir los gastos que se generen en la realizacin del proyecto y otorgar una beca de apoyo para la alumna. 2.6 Factibilidad tcnica La alumna cuenta con los conocimientos necesarios para llevar a cabo la auditoria informtica interna en la seguridad de la informacin, as como tambin Propaga cuenta con los requisitos adecuados para facilitar este proceso.
17
18
Captulo 3 Metodologa
En esta auditora se identificarn las vulnerabilidades de la informacin en la empresa Propaga, para esto ser necesario que el auditor conozca cuales son los puntos de amenaza, para el desarrollo de esta auditoria se utilizar la metodologa CRMR (Computer resource management review) 3 especializada en la evaluacin de recursos informticos proporciona soluciones ms rpidas a problemas concretos y notorios para auditar los riesgos de la empresa en aspectos como infraestructura, hardware, software y recursos humanos. Adems las normas de la serie ISO/IEC 27000 sern retomadas para la creacin de herramientas de evaluacin como cuestionarios personalizados y checklist, derivados de estos se crearn diagramas de caso de uso, lo anterior dar la pauta para adaptarse en la auditoria interna en Propaga que tendr como producto un informe final con recomendaciones y propuestas de mejora.
Esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management.
19
20
que nos permitan mostrar las deficiencias en la seguridad de la informacin y ser la pauta para saber que puntos se necesitan evaluar y abarcar en los checklist. Los recursos que se utilizarn son: el organigrama de la empresa, computadora y Word.
utiliza algn tipo de seguridad para evitar la intromisin de terceros y si algunas de sus actividades son utilizadas para publicar informacin confidencial de la empresa, para esta actividad se tomaran dos semanas. Los cuestionarios sern digitales, formarn parte de las evidencias y tambin se podrn implementar entrevistas, se utilizar la computadora y Word.
3.2.2 Hardware
Checklist pueden ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.
21
En esta actividad ser necesario contar con el inventario de la empresa, evaluar con que respaldos para contrarrestar posible extravi de informacin con base en se utilizar la metodologa CRMR, todo lo anterior servir para realizar reportes y generar evidencia, el tiempo para esta actividad ser de una semana. Los recursos que se utilizarn son los formatos de evaluacin para hardware, inventario de equipo de computo, cmara fotogrfica, computadora, otros.
3.2.3 Software
El auditor con base en se utilizar la metodologa CRMR evaluar los antivirus, antiespas, navegadores, uso de redes sociales y correo. Esta actividad es de las ms importantes pues este es uno de los principales medios de fuga en la informacin en el rea de diseo, lo anterior servir para realizar reportes y posible evidencia, el tiempo para esta actividad ser de una semana. Los recursos que se utilizarn son los formatos de evaluacin para software, Fireworks, computadora, otros.
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos.
22
23
3.4 Resultados
Despus del trabajo de auditoria en esta etapa el encargado de realizarla deber redactar el informe final que incluyen las recomendaciones para mejorar el proceso de seguridad de la informacin, concluyendo con una capacitacin para los recursos humanos.
Prezi es una aplicacin multimedia para la creacin de presentaciones similar a Microsoft Office PowerPoint o Impress de Libre Office pero de manera dinmica y original.
24
Es importante mencionar que el tiempo estimado es de dos semanas, pero puede variar dependiendo de las contingencias en la auditora. En el siguiente cronograma de actividades se muestran los tiempos etapas de la auditoria, actividades a realizar, tiempos, responsables y producto por actividad.
25
El inicio de la auditora estuvo lleno de nuevas expectativas de encontrar deficiencias en la seguridad informtica, el siguiente proceso muestra cuales fueron los pasos a seguir desde la planeacin estratgica, continuando con la evaluacin en los cuatro aspectos fundamentales (especificados en los objetivos especficos) para la empresa como lo son: instalaciones fsicas, hardware, software y recursos humanos, la metodologa CRMR (nivel medio)8 fue una gran herramienta de apoyo para identificar el proceso de auditora y como se realizan la tareas que determinan la seguridad de la informacin en Propaga. 4.1 Planificacin y estudio preliminar Durante este proceso se inicio la recopilacin de informacin para conocer cual es el contexto en que se encontraba la empresa, el organigrama fue de mucha ayuda pues se logr identificar cuales eran los puestos estratgicos y de forma preliminar plantear los reactivos o cuestionamientos que deberan de incluir los cuestionarios y checklist, todo lo anterior fue basado en la norma ISO/ IEC 27002 la cual especifica los aspectos a evaluar e identificar las vulnerabilidades de SI. 4.1.1 Visitas a la empresa La auditora realiz las visitas previas para conocer sobre el funcionamiento de la empresa, los roles que desempea cada trabajador, como se desplazan los flujos de informacin, si existen jerarquas y responsables por rea.
26
4.1.2 Elaboracin de formatos para informe Para elaborar los formatos del informe final fue necesario conocer de que forma la norma ISO/ IEC 27000 era compatible con esta auditora, en el siguiente cuadro se muestra algunos puntos bsicos de la ya mencionada norma enfocado en 27002 donde se indican los aspectos a auditar y se utiliz para conocer que resultados se obtendran, esto fue muy importante ya que es la base para crear los checklist.
27
Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000 No de Solicitud Periodo de auditora Nombre de la organizacin Etapa 1 auditora Objetivo Criterios de Normas de la Serie ISO/IEC 27000 Auditor rea
Alcance
28
Objetivos especficos
Revisin de los elementos de evaluacin especificados en la norma ISO/IEC 27002 Criterio/ Actividad
5 poltica de seguridad 7 Gestin de activos 8 Seguridad ligada a recursos humanos 9 Seguridad fsica y del entorno 10 Gestin de comunicaciones y
Revisin
Resultado
mantenimiento informacin
29
Revisin
A: Aplica NA: No aplica
Resultado
C: Cumple NR: No Revisado NM: Necesita mejora
Conclusiones de la auditora Grado de confianza que se le puede dar a la auditora interna en la organizacin
Fortalezas
Necesidades de Mejora
Disposiciones finales
En caso de queja o apelacin al auditor o comentarios al resultado de este informe, notifquelo por escrito.
Fecha
Auditor
30
Este proceso se estar realizando durante las evaluaciones de riesgos en los SI9. Para este proceso se identificaron las reas ms importantes a abarcar, quedando de la siguiente forma: 4.1.2.1 Check-List Instalaciones fsicas
Con base en la norma ISO/ IEC 27002: 2005 No. Tipo de seguridad a evaluar Responsable Nombre del Proyecto reas seguras No. Caracterstica Si 1 Permetro de seguridad fsica Cumple No Observaciones Firma Fecha de elaboracin Instalaciones Fsicas
1.1 2 2.1
El espacio es suficiente para trabajar Controles fsicos de entrada Las entradas y puertas de salida cuentan con algn tipo de seguridad
2.2
Seguridad de la Informacin.
31
instalaciones. 3.1 Las instalaciones cuentan con extintores estratgicos 3.2 Los pasillos son adecuados para cada rea de trabajo 4 Proteccin contra las amenazas externas y de origen ambiental. 4.1 Las instalaciones son resistentes a fenmenos naturales 4.2 Existe un plan de contingencia que incluye sealamientos y rutas de evacuacin 4.3 El edificio cuenta con seguro en caso de siniestros 5 5.1 Trabajo en reas seguras. El mobiliario se encuentra instalado estratgicamente para evitar perdida de informacin 5.2 El mobiliario se encuentra instalado estratgicamente para evitar cadas o derrumbes. 6 reas de acceso pblico y de carga y descarga. 6.1 El rea de recepcin es independiente a las oficinas
32
6.2
4.1.2.2 Check-List Hardware Con base en la norma ISO/ IEC 27002: 2005 No. Tipo de seguridad a evaluar Responsable Nombre del Proyecto No. Caracterstica Si 1 1.1 1.2 1.3 2 2.1 2.2 2.3 2.4 2.5 Responsabilidad sobre los activos. Inventario de activos. Propiedad de los activos. Uso aceptable de los activos. Seguridad de los equipos. Emplazamiento y proteccin de equipos. Instalaciones de suministro. Seguridad del cableado. Mantenimiento de los equipos. Seguridad de los equipos fuera de las instalaciones. Firma Fecha de elaboracin Cumple No Observaciones Hardware
33
2.6
2.7
Gestin de la seguridad de las redes. Controles de red. Seguridad de los servicios de red. Control de acceso a la red. Poltica de uso de los servicios en red. Autenticacin de usuario para conexiones externas.
4.3
4.4
5 5.1 5.2 6
Copias de seguridad Respaldo fsico Respaldo en la nube Seguridad en caso de desastres naturales y accidentes
6.1 7
7.1
34
4.1.2.3 Check-List Software Con base en la norma ISO/ IEC 27002: 2005 No. Responsable Nombre del Proyecto No. Caracterstica Cumple Si GESTIN DE COMUNICACIONES Y OPERACIONES 1 Proteccin contra el cdigo malicioso y descargable. 1.1 1.2 Controles contra el cdigo malicioso. Controles contra el cdigo descargado en el cliente. 2 2.1 Intercambio de informacin Polticas y procedimientos de intercambio de informacin. 2.2 2.3 2.4 2.5 3 3.1 3.2 Acuerdos de intercambio. Soportes fsicos en trnsito. Mensajera electrnica. Sistemas de informacin empresariales. Servicios de comercio electrnico. Comercio electrnico. Transacciones en lnea. No Observaciones Tipo de seguridad Firma Fecha de elaboracin Software
35
3.3
CONTROL DE ACCESO. 4 4.1 4.2 4.3 4.4 Gestin de acceso de usuario. Registro de usuario Gestin de privilegios Gestin de contraseas de usuario Revisin de los derechos de acceso de usuario. 5 5.1 5.2 5.3 Control de acceso a la red. Segregacin de las redes. Control de la conexin a la red. Control de encaminamiento (routing) de red. 6 6.1 Control de acceso al sistema operativo. Procedimientos seguros de inicio de sesin. 6.2 6.3 6.4 6.5 6.6 7 Identificacin y autenticacin de usuario. Sistema de gestin de contraseas. Uso de los recursos del sistema. Desconexin automtica de sesin. Limitacin del tiempo de conexin. Control de acceso a las aplicaciones y a la informacin. 7.1 7.2 Restriccin del acceso a la informacin. Aislamiento de sistemas sensibles.
36
8 8.1
8.2
Teletrabajo.
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN. 9 Tratamiento correcto de las aplicaciones. 9.1 9.2 9.3 9.4 10 Validacin de los datos de entrada. Control del procesamiento interno. Integridad de los mensajes. Validacin de los datos de salida. Controles criptogrficos.
10.1 Poltica de uso de los controles criptogrficos. 10.2 Gestin de claves. 11 Seguridad de los archivos de sistema. Control del software en explotacin. 11.1 Proteccin de los datos de prueba del sistema. 11.2 Control de acceso al cdigo fuente de los programas.
Formatos 4 Checklist Software.
37
4.1.2.4 Check-List Recursos Humanos Con base en la norma ISO/ IEC 27002: 2005 No. Responsable Nombre del Proyecto No. Caracterstica Cumple Si No Observaciones Tipo de seguridad Firma Fecha de elaboracin Recursos Humanos
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 1 1.1 1.2 1.3 Antes del empleo Funciones y responsabilidades. Investigacin de antecedentes. Trminos y condiciones de contratacin. 2 2.1 2.2 Durante el empleo. Responsabilidades de la Direccin. Concienciacin, formacin y capacitacin en seguridad de la informacin. 2.3 3 3.1 3.2 Proceso disciplinario. Cese del empleo o cambio de puesto de trabajo. Responsabilidad del cese o cambio. Devolucin de activos.
38
3.3
GESTIN DE COMUNICACIONES Y OPERACIONES 4 4.1 Responsabilidades y procedimientos de operacin. Documentacin de los procedimientos de operacin. 4.2 4.3 4.4 Gestin de cambios. Segregacin de tareas. Separacin de los recursos de desarrollo, prueba y operacin. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN 5 5.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin. Notificacin de los eventos de seguridad de la informacin. 5.2 Notificacin de puntos dbiles de seguridad. 6 6.1 6.2 Gestin de incidentes y mejoras de seguridad de la informacin. Responsabilidades y procedimientos. Aprendizaje de los incidentes de seguridad de la informacin. 6.3 Recopilacin de evidencias.
Formatos 5 Checklist Recursos Humanos.
39
evidencias registradas por medio de la observacin, siendo en la evaluacin de recursos humanos donde hay mas posibilidades de interactuar con los empleados, es en sta fase donde se recopilar la mayor informacin posible.
x
1.1 El espacio es suficiente para trabajar
x
2 Controles fsicos de entrada
40
2.1
terceras personas acceder de forma directa, las salidas secundarias se encuentran cerradas
2.2
x x
Las entradas y salidas son funcionales en su totalidad Alarmas contra introduccin de terceros Los extintores se encuentran en la parte de
3.1
3.2
x X
La empresa no cuenta con un plan de contingencias Por la zona geogrfica cabe destacar que las
4.1
41
4.2
No existe plan de
4.3
X X
5.1
5.2
El mobiliario se encuentra
En casos de carga y
6.1
42
publicitarias se encuentran lejos de la recepcin 6.2 Existe estacionamiento para clientes y trabajadores La empresa cuenta con
4.2.2 Hardware
No.
Hardware
x x x
1.1
Inventario de activos.
1.2
43
1.3
x
2 Seguridad de los equipos.
x
2.1 Emplazamiento y proteccin de equipos.
x x x
2.2
Instalaciones de suministro.
2.3
2.4
x x
2.5
Los equipos cuentan con alarmas Los equipos son utilizados hasta su merma, siempre
2.6
2.7
44
3.1
Controles de red.
3.2
x
4 Control de acceso a la red.
x x
4.1
4.2
4.3
x x x
4.4
Copias de seguridad
45
5.1
Respaldo fsico
x x
No se cuenta con algn
5.2
Respaldo en la nube
x x x
6.1
Seguro de activos
7.1
Las vulnerabilidades
x
Checklist 2 Hardware.
4.2.3 Software No. Responsable Nombre del Proyecto No. Caracterstica 1 Roxana Fuentes Auditoria Informtica Cumple Si GESTIN DE COMUNICACIONES Y OPERACIONES No Observaciones Tipo de seguridad Firma Fecha de elaboracin 12/02/14 Software
46
1.1
x x x x x x x
1.2
Intercambio de informacin
2.1
2.2
Acuerdos de intercambio.
2.3
2.4
Mensajera electrnica.
2.5
x X
En proceso de creacin
3.1
Comercio electrnico.
47
3.2
Transacciones en lnea.
X x
Existe informacin en directorios, redes sociales y ms
3.3
x x x x
4.1
Registro de usuario
4.2
Gestin de privilegios
4.3
4.4
x x
Todos los usuarios tienen acceso No existe un software o dispositivo que controle la seguridad en la red
5.1
x x
No se configuro
5.2
48
5.3
x x x x x
No se configuro
De forma Bsica
6.1
6.2
6.3
6.4
6.5
6.6
x x x x
No existen limitantes
7.1
Filtro bsico
7.2
49
x x
Si aplica
8.1
8.2
Teletrabajo.
En mantenimiento
9.1
x x x
9.2
9.3
Los mensajes llegan de forma integra, hasta la fecha no se han registrado casos
9.4
10
Controles criptogrficos.
No existen
50
x x
No conocen acerca de este tipo de polticas Las claves son a nivel bajo-medio no son gestionadas
11
x x x x
11.1 Proteccin de los datos de prueba del sistema. 11.2 Control de acceso al cdigo fuente de los programas.
Checklist 3 Software.
51
1.1
Funciones y responsabilidades.
Los usuarios conocen sobre cuales sern sus responsabilidades dentro de la empresa antes de ser contratados
1.2
Investigacin de antecedentes.
1.3
Antes empezar a laborar el empleado y el encargado de recursos humanos firman un contrato para establecer las responsabilidades de trabajador y obligaciones de la empresa
Durante el empleo.
2.2
2.3
Proceso disciplinario.
52
3.1
X X
3.2
Devolucin de activos.
Los empleados estn obligados por el contrato a devolver cualquier informacin o insumo de la empresa
3.3
Las contraseas son cambiadas, se retiran las credenciales y el exempleado ya no tendr acceso de forma directa a la empresa
GESTIN DE COMUNICACIONES Y OPERACIONES 4 4.1 Responsabilidades y procedimientos de operacin. Documentacin de los procedimientos de operacin.
Existe un plan de trabajo para cumplir con sus actividades segn el rea y puesto del empleado
4.2
Gestin de cambios.
X X X
4.3
Segregacin de tareas.
4.4
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN 5 Notificacin de eventos y puntos dbiles de seguridad de la informacin.
53
5.1
x x
No de forma directa
5.2
6 6.1
6.2
x x
6.3
Recopilacin de evidencias.
4.3
Durante la auditora se identificaron varias reas que podran significar un alto riesgo en la seguridad de la informacin: Las instalaciones fsicas, software, hardware y recursos humanos dentro de la evaluacin se enfoco en encontrar donde esta fallando el resguardo de la informacin, la norma 27000 nos indica los aspectos a evaluar, para esto se realizaron las siguientes actividades extras: Se analiz los sistemas de informacin operados por la administracin. Las garantas y nivel de funcionalidad de los antivirus. Revisin del SO y correo electrnico.
54
Las entradas y salidas de la empresa. Funcionalidad de extintores. Funcionalidad de las alarmas de las instalaciones. Cableado y configuracin de redes inalmbricas. Contrato con proveedor de telefona e internet. Funcionalidad de los equipos de cmputo. Formatos de contratacin de empleados.
4.3
Reunin de evidencias
Despus de evaluar a la empresa se reuni las evidencias retomando las ms importantes y desechando las que no sean relevantes para la norma ISO/IEC 27000, por disposicin de la empresa existen evidencias confidenciales y no podrn ser mostradas en el presente protocolo, a continuacin se hace un listado de las evidencias reunidas: Checklist de Instalaciones fsicas, hardware, software y recursos humanos. Fotografas. Organigrama. Testimonios de empleados. Diagramas de actividades. Contratos e informes de la empresa.
55
56
57
58
59
60
61
4.4 Resultados
En esta ultima fase de la auditora los interesados conocen los resultados, es importante mencionar que se realiz un informe final que incluye las vulnerabilidades, fortalezas y reas de oportunidad de mejora para la empresa.
Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000 No de Solicitud Periodo de auditora Nombre de la organizacin Etapa 1 auditora Objetivo
Realizar una auditora interna en la seguridad de la informacin en la empresa Propaga, con base en las normas de la serie ISO/IEC 27000, con el fin mejorar la gestin de informacin en la infraestructura, hardware, software y recursos humanos.
1 Enero-Abril
Roxana Fuentes
General
Alcance
El proyecto de estada que ser realizado el periodo de Enero-Abril del 2014 abarcar una auditoria informtica interna en la seguridad de la informacin con base en las
62
normas de la serie ISO/IEC 27000 en la empresa Propaga, con el objetivo de realizar recomendaciones de mejora las cuales se vern reflejados en posibles polticas de seguridad y plan de contingencias. Los puntos a auditar sern los siguientes: De las instalaciones fsicas se evaluar: Instalaciones elctricas y cableadas de la red de datos. Sistemas de proteccin a dispositivos de almacenamiento. Sistemas contra desastres naturales. Control de accesos a las instalaciones.
De software se evaluar: Antivirus, antiespas y otros. Navegadores. Uso de redes sociales. Correo.
De recursos humanos se evaluar: Uso de la informacin. Desempeo de su funcin. Trabajo e interaccin con los otros. Nivel de conocimiento sobre seguridad informtica.
Objetivos especficos
Visitar a Propaga para realizar un estudio preliminar. Crear un plan de trabajo para llevar a cabo la auditora.
63
Creacin de formatos para la evaluacin de la auditora (informes) y cheklist. Evaluacin de instalaciones fsicas para detectar posibles vulnerabilidades en la infraestructura de la empresa.
Evaluacin del Hardware para conocer las caractersticas y estado fsico del equipo de cmputo.
Evaluacin del Software para determinar posibles faltas o fallos de seguridad. Evaluacin de los recursos humanos para determinar su necesidad de formacin y proponer los cambios necesarios del comportamiento, conocimientos. actitud, habilidades, o
Identificar la causa de problemticas derivadas de la falta de control en la informacin para encontrar soluciones que ayuden a erradicarlas.
Documentar un informe final para incluir una propuesta de mejora. Creacin de material para capacitacin de usuarios.
Herramientas a utilizar: Personal contactado10 Nombre Roco Rodrguez M. Rubn Meja Cosco Edith Coleman Hernndez Citlalli Blanco Valerio Bladimir Meja Mariscal
10
64
Revisin de los elementos de evaluacin especificados en la norma ISO/IEC 27002 Criterio/ Actividad
5 Poltica de seguridad 7 Gestin de activos 8 Seguridad ligada a recursos humanos 9 Seguridad fsica y del entorno 10 Gestin de comunicaciones y
Revisin
A A A A A
Resultado
NM C C NM C
mantenimiento informacin
NM
Revisin
A: Aplica NA: No aplica
Resultado
C: Cumple NR: No Revisado NM: Necesita mejora
Conclusiones de la auditora Grado de confianza que se le puede dar a la auditora interna en la organizacin Satisfactorio
65
Fortalezas
Propaga cuenta con un gran espacio para realizar sus actividades, por este motivo es menos propenso a recibir perdidas causa de desastres naturales. Utiliza extintores en caso de incendio. Existen alarmas en puertas. La empresa utiliza sus activos de forma idnea. Se utiliza software especializado para evitar perdidas de informacin por causa de cdigo malicioso o virus. Se utilizan contraseas para tener acceso al correo electrnico, sistemas de informacin, redes sociales y otras aplicaciones. Los recursos humanos son contratados bajo un contrato y conociendo las obligaciones y responsabilidades del trabajador y Propaga. Ante la baja de algn empleado se toman las acciones correspondientes para evitar la fuga de informacin o mal uso de esta. El personal utiliza identificaciones para evitar robo de identidad.
Necesidades de Mejora
En descargas de software en administracin y recepcin. Aplicar polticas de seguridad de la informacin de la red interna. Control sobre acceso y configuracin de red. Las PC necesitan mayor ventilacin e iluminacin. Los cables de los equipos de cmputo se encuentran sueltos. El cableado de datos no se encuentra instalado de acuerdo a la norma de tendido de cable de datos. Instalar un sistema puesto a tierra (basado en algn estndar). Respaldar la informacin como proteccin fuera de la empresa o por medio de la
66
nube. Crear manuales para implementar software, actualizaciones, para cada equipo de cmputo. Plan de contingencias en caso de accidentes o desastres naturales, creando una ruta de evacuacin y sealamientos.
Capacitar a los usuarios de forma permanente para que estos conozcan tcnicas para salvaguardar la informacin y mejoren as su desempeo en la empresa.
Crear los planes de contingencia y polticas de la SI enfocados a salvaguardar la informacin de clientes, con lo anterior mejorara la calidad y servicio de Propaga.
Disposiciones finales
En caso de queja o apelacin al auditor o comentarios al resultado de este informe, notifquelo por escrito.
67
Durante el proceso de la auditora se encontraron varios aspectos positivos dentro de la SI, los sistemas de vigilancia y algunos otros controles han logrado mantener hasta cierto punto la privacidad en informacin confidencial. La tecnologa y las nuevas aplicaciones traen consigo nuevos retos para Propaga, implementar las mejoras mencionadas en el informe final es necesario pues de lo contrario dentro de algunos aos nuevos competidores podran a provechar la falta de seguridad informtica, sobre todo en el aspecto de contraseas y redes. Se acord realizar las mejoras y crear las polticas de seguridad dentro de la empresa, para esto se utilizarn los resultados y recomendaciones del informe final.
4.4.3 Creacin del material para capacitacin de usuarios Para tener un mejor desempeo y buenos resultados en un plazo medio, fue creado un material que ayudar al personal y nuevas contrataciones, a realizar su trabajo en base a la seguridad informtica y polticas de la empresa. El gerente general ha incluido dentro del plan de prximas contrataciones partes de la norma ISO/IEC 27000 (incluidas en el checklist de recursos humanos).
68
Bibliografa
Domnguez, H. (2010). El puente hacia el futuro. Logstica y Operaciones, 32. Jos Antonio Echenique Garca (2005) Auditoria en Informtica Segunda edicin, Capitulo 1. Pgs. 21-22. Jos Antonio Echenique Garca (2005) Auditoria en Informtica Segunda edicin, Capitulo 3. Pgs. 58-86. Expansin, Control Interno, Auditora y Seguridad Informtica. (1996)Tomos II-IV.
Piattini, M., E. Del Peso, Auditora Informtica: un enfoque prctico (1997), Ra-Ma, Capitulo 4. Pgs. 96-127.
Referencias Web
(2013, 11). An Introduction to ISO 27001, ISO 27002....ISO 27008. The ISO 27000 Directory. Recuperado 01, 2014, de http://www.27000.org/ (2012, 11). Portal de soluciones tcnicas y organizativas a los controles de ISO/IEC 27002 ISO/IEC 27002 ES. Recuperado 11, 2013, de http://www.iso27002.es/
69
Glosario
Alcance (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin. Amenaza (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Auditor (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un rea particular. Auditora (Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin. Checklist Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para facilitar su desarrollo.
70
Desastre (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera significativa. ISO 27001 Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005. ISO 27002 Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. Poltica de seguridad (Ingls: Security policy). Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la Direccin. Riesgo (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus consecuencias.
71
SGSI (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades,
procedimientos, procesos y recursos.) Vulnerabilidad (Ingls: Vulnerability). Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
72