Documente Academic
Documente Profesional
Documente Cultură
Como una forma de englobar todo lo planteado anteriormente y viendo este asunto
desde una ptica integral, como un proceso donde el documento formal es solo un
paso y entendiendo la seguridad informtica como los procedimientos y mecanismos
utilizados para garantizar un razonable grado de proteccin de los recursos
informticos, se presenta a continuacin una propuesta de metodologa que facilita
esta labor.
Etapas en el Diseo e Implementacin de una Poltica de Seguridad
Como se muestra en la figura 1, el disear una Poltica de Seguridad para su posterior
implementacin no puede ser un acto caprichoso, de momento, de moda; es un
proyecto completo que debe ser asumido con la mayor responsabilidad si se quiere
lograr el efecto buscado. Cada una de estas etapas cumple papel importante en el
exitoso final del proyecto.
Recorriendo cada uno podemos ver que tareas en concreto se deben desarrollar y cual
es la razn para su inclusin en la propuesta metodolgica planteada.
Mercadeo del Proyecto
Vender un nuevo proyecto nunca es fcil y mas si se trata de asuntos relacionados con
la seguridad en sistemas, donde muchos consideran que no tienen riesgos o no son de
su inters y piensan que las Polticas de Seguridad basta con copiarlas de otras
instalaciones o usar el sentido comn para expedir un recetario de normas.
Como se aprecia en la figura 2, se pueden usar diferentes estrategias para involucrar a
la alta gerencia en el proyecto, sin la participacin de la cual jams se lograr llevarlo al
punto que se requiere.
Esta etapa enfrenta el poco inters de las altas directivas de la empresa, el
desconocimiento de la importancia de la seguridad informtica y el exceso de
tecnicismo de los expertos en seguridad. Para facilitar el trabajo de concientizacin es
bueno apoyarse en casos de fallos de seguridad ocurridos en negocios similares y los
efectos generados; hacer notar la responsabilidad que cabe a las empresas que no han
realizado los esfuerzos necesarios para minimizar los riesgos y que debido a ello
pueden infringir normas legales o afectar a otros; para finalizar se puede evaluar la
razn costo/beneficio de las medidas tendientes a enfrentar con seriedad los aspectos
relativos a seguridad y que el no hacerlo podra llevar a graves problemas de imagen y
prestigio de la organizacin
Inventario y Calificacin
Para saber que hay que proteger es necesario hacer un juicioso inventario de recursos
informticos (hardware, software y liveware), y de los servicios ofrecidos, donde se
determine la importancia para la organizacin y el grado de criticidad de cada uno. En
la figura 3 se aprecian estos elementos.
Anlisis de Amenazas
En la figura 5 se aprecian algunas de las posibilidades que se tienen de conocer los
riesgos que se presentan para los diferentes recursos de la organizacin.
El ambiente de control,
evaluacion de riesgos,
actividades de control,
informacin,
comunicacin y monitoreo ademas de la forma en que se inicializan, registran,
procesan y reporta las transacciones.
Simulacin Paralela
Programas independientes creados por la auditora para procesar datos reales y
simular proceso real.
Software de Auditora
Segn SAP1009, en su pargrafo 26: "El software de auditora consiste en programas
de computadora usados por el auditor, como parte de sus procedimientos de auditora,
para procesar datos de importancia de auditoria del sistema de contabilidad de la
entidad. Puede consistir en programas de paquete, programas escritos para un
propsito, programas de utileria o programas de administracin del sistema.
Independientemente de la fuente de los programas, el auditor deber verificar su
validez para fines de auditora antes de su uso".
Mapeo.
Caracterstica del programa tales como tamao en bytes, localizacin en memoria,
fecha de ultima modificacin, etc
Comparacin de cdigo.
Involucra los cdigos fuentes y cdigos objetos.
Falta imagen
Job Accounting Software. Informe de Contabilidad del Sistema.
Utilitario del sistema operativo que provee el medio para acumular y registrar la
informacin necesaria para facturar a los usuarios y evaluar el uso del sistema
Documentacoin Cambios
Autorizacion a cambios, pruebas y puesta en marcha.
Acceso a fuentes.
Copias de los nuevos programas.
Adiconar rutinas de auditoriia
3. Auditora y Seguimiento
Logs.
Riesgos: logs muy grandes.
Desconocimiento de la informacion contenida
4. Planes de Respaldo y Contingencia.
5. Metadatos.
6. Seguridad en la Red.
7. Acceso a traves de Internet.
8. Seguridad Instalaciones y acceso fisico.
9. Diseo de la Base de Datos.
LLaves Primarias logicas
Integridad Referencial o mecanismos
Normalizacion
Triggers mal diseados.
10. Eficiencia y economia de recursos.
11. Almacenamiento.
Cambios no afectan a programas
Agrupacin
a. Problemas por seguridad en instalaciones y acceso fsico.
b. Riesgos relacionados con el acceso lgico y la privacidad a las bases de datos.
c. Causados por la relacin Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.
e. Problemas relacionados con el Diseo de la Base de Datos.
f. Asuntos concernientes al Diccionario de datos y documentacin
g. Problemas con el Respaldo y planes de contingencia
h. Riesgos por personal y organizacin.
i. Auditabilidad.
3. Evaluacin del estado de control existente (checklist)
Objetivos de la evaluacin para cada grupo de riesgos
Preguntar para cada objetivo gravedad, probabilidad, impacto, referencias
observaciones.
A continuacin se muestran algunos ejemplos.
a. Problemas por seguridad en instalaciones y acceso fsico.
Objetivos
i. Evaluar la seguridad de las instalaciones contra diferentes riesgos.
ii. Evaluar la existencia e planes de accin ante siniestros que involucren las
instalaciones.
iii. Evaluar las medidas existentes para el control de acceso fsico a las instalaciones.
Checklist
Aplicacin de cuestionarios
Informes de emergencia
Diseo de pruebas de Auditora
Los pasos anteriores son base para determinar la naturaleza y extensin de las
pruebas de auditora que deban efectuarse.
Las pruebas de auditora, como se sabe, son de dos tipos: De cumplimiento y
sustantivas. Buscan obtener evidencia que los controles establecidos existen en
realidad y se utilizan y ejecutan correctamente.
Al conjunto de pruebas resultante se denomina Programa de auditora.
El modo en que se verific cada respuesta de los cuestionarios, debe ser incluida en
los checklist.
Es un trabajo de escritorio donde se especifica la instalacin a evaluar, el nmero de la
prueba, el objetivo de la misma, las tcnicas a emplear, el tipo de prueba (de
cumplimiento o sustantiva), los recursos necesarios para aplicarla, en cuanto a
informacin, software, hardware y personal. Se describe, adems el procedimiento a
emplear.
Ejecucin de pruebas
Su propsito es obtener evidencia sobre los controles establecidos, su utilizacin, y el
entendimiento y ejecucin de los mismos por parte de las personas. Para cada prueba
ejecutada deben adjuntarse los soportes correspondientes.
Anlisis de efectos de debilidades
a. Identificacin de debilidades
b. Impacto
- Costo de perdidas y adicionales
- Probabilidad de ocurrencia.
Diseo de controles
Determinar y evaluar medidas de seguridad adicionales
Informe final
Seguimiento
Procedimientos de Auditora
Anlisis de Riesgos
Propsito. Aprovechar el conocimiento de la relacin sistema operativo, aplicacin,
sistema de bases de datos para realizar una auditoria basada en riesgos.
1. Control del ambiente de login en Sistema Operativo
a. Asegrese que el usuario esta adecuadamente restringido por el programa de
aplicacin o por la seguridad de un men de opciones.
b. Asegrese que el usuario no puede escaparse del nivel del programa de
aplicacin y obtener acceso al sistema operativo a la base de datos.
c. Asegrese que el acceso al sistema de bases de datos (roles, privilegios) esta
limitado a los objetos de programas de aplicacin y el acceso a los objetos del
sistema esta restringido desde el identificador de la aplicacin de bases de datos.
2. Asegrese que cada usuario se autentica con la base de datos.
a. Asegrese que cada usuario esta propiamente restringido por el programa o por el
men de seguridad dentro de la aplicacin.
b. Asegrese que cada usuario esta restringido desde la administracin de bases de
datos y las herramientas de desarrollo, igualmente desde las herramientas de
consultas.
3. Si los usuarios se conectan a las bases de datos a travs de interfaces de
administracin o desarrollo
a. Asegrese que cada perfil de usuario en las tablas de usuarios es auditado.
b. Asegrese que los roles y privilegios son auditados usuario por usuario.
4. Realice una detallada revisin de los login, procesos de autenticacin, perfiles de
usuario y roles y privilegios.
5. Si un programa es una aplicacin Web a travs de http o Programas CGI en el
servidor:
a. Determine si el enrutador y/o firewall restringe el acceso a la Base de Datos.
b. Determine que son adecuados los controles de accesos al servidor web.
c. Que se realizan procesos de auditoria sobre los usuarios del sistema operativo y
de la base de datos.
Seguridad en el Sistema Operativo
Objetivo. Determinar si el acceso a la base datos a travs del sistema operativo es
seguro
1. Usuario de base de datos y sistema operativo.
a. verifique que todos los usuarios creados en el sistema operativo representan un
usuario valido.
b. Asegrese que las conexiones remotas estn controladas.
Datos Operacionales: Datos operativos actualizados por aplicaciones OLTP (On Line
Processing Transaction. Procesamiento de transacciones en lnea.). Estn
almacenados en las bases de datos en produccin.
Extractores de Datos: Encargados del copiado y distribucin de los datos de acuerdo
con el diseo. Se determinan los datos a copiar, desde donde y hacia donde, periodos
para las actualizaciones. Se determina si se realiza una regeneracin (copia de la
fuente de datos en su totalidad) o una actualizacin (solo se propagan los cambios).
Los datos externos son adecuados y limpiados antes de ser sumados a la bodega de
datos.
Son los enlaces entre los datos en produccin y el Data Warehouse (generalmente de
tipo relacional)
Bodega de Datos: El repositorio de datos actual. Organizadas orientada a intereses
concretos. Informacin histrica reflejando transacciones OLTP, acumuladas por aos o
en general por periodos largos. Se dice que son servidores de datos para apoyo de
decisiones, que aade valor a los datos procedentes de las fuentes en produccin.
Contienen informacin detallada y agregada.
Metadatos: Los metadatos llevan registros de los datos almacenados, integrados en la
misma base de datos. Describen el contenido de los objetos de la bodega de datos: las
tablas, ndices y el contenido de los datos. Los metadatos definen los formatos,
significado y origen de los datos y facilitan el acceso y administracin a los datos en la
bodega.
Contienen la informacin de la fuente antes de ingresar a la bodega, el mapeo de los
datos fuentes a datos en la bodega, historia de las extracciones, logica y algoritmos
usados para los procesos de datos (sumarizacion, organizacin, etc.) y la historia de
los cambios en la bodega.
Herramientas de Consultas y Extraccin de Informacin: Proveen la interfaz
humana con la bodega de datos. En el procesamiento de la informacin se pasa de
simples consultas SQL a OLAP y de esta a Minera de Datos.
sistemas operativos, pero que pueda ser aplicada a un sistema operativo especfico
como Unix, Linux, Windows, Solaris, Netware, etc.
Metodologa propuesta
A continuacin se proponen y describen las principales etapas que se deben seguir al
momento de auditar un sistema operativo.
A. Investigacin Preliminar
B. Identificacin y Agrupacin de Riesgos
C. Evaluacin de la Seguridad en la empresa objeto de la Auditora
D. Diseo de Pruebas de Auditora
E. Ejecutar Pruebas de Auditora
F. Anlisis del Efecto de las debilidades de Seguridad
G. Diseo de Controles
H. Elaboracin de Informe de Auditora
I. Seguimiento
A. Investigacin Preliminar
Objetivos
Determinar los recursos de cmputo de la empresa y la estructura organizacional de
esta.
Evaluar la importancia del sistema de informacin para los procesos de negocio
objeto de la auditoria y el soporte que los recursos de cmputo dan a estos.
Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la
auditoria, identificando los elementos que apoyan la seguridad y administracin.
Consideraciones
a. Conocimiento global de la empresa en cuanto a:
rea de Tecnologa de la Informacin (rea de sistemas)
Estructura organizacional y personal
Plataforma de hardware
Sistemas operativos
Sistemas de redes y comunicaciones
b. Conocimiento global del sistema operativo, evaluando las herramientas que
proporciona como apoyo a la seguridad y a la administracin.
Herramientas o Mecanismos para la realizacin de la Investigacin Preliminar
-
- Capacitacin y entrenamiento
- Ambiente laboral.
Monitoreo y Auditora
Aspectos generales a considerar
- Evaluacin de la funcin de auditora interna si existe o externa.
- Procedimientos de auditora realizados con relacin al sistema operativo.
- Existencia y utilizacin de herramientas de monitoreo y auditora.
- Procedimientos de monitoreo y ajuste (Tunning)
- Reportes de anlisis de logs del sistema (instalacin, operaciones).
- Logs
- Reportes de monitoreo y auditora.
- Software de auditora.
Planes de contingencia (Planes de respaldo y recuperacin)
Aspectos generales a considerar
- Existencia de un plan de contingencia.
- Conocimiento y divulgacin del plan de contingencias.
- Pruebas y ajustes al plan de contingencias.
- Planes de respaldo (a nivel de personal, software y hardware) y recuperacin.
- Elaboracin y gestin de copias de seguridad (Backups)
Administracin e implementacin de la seguridad
Aspectos generales a considerar
- Funcin encargada de la administracin de la seguridad.
- Roles y responsabilidades.
- Polticas y estndares.
- Entrenamiento y capacitacin en seguridad.
- Personal Asesor
- Procedimientos de administracin de la seguridad.
- Almacenamiento (Almacenamiento y Filesystem).
- Documentacin.
Servicios que soporta el sistema operativo (aplicaciones, web, correo, proxy,
DNS, Base de datos)
Aspectos generales a considerar
En este sentido es muy importante tener un grupo de riesgos asociados con los
servicios que el sistema operativo evaluado este soportando y la criticidad e
importancia que representen para la organizacin, pues estos pueden ser una puerta
de entrada al sistema.
Los aspectos a considerar estn estrechamente relacionados con el servicio especfico
y sera bastante extenso enumerar en este punto los aspectos a considerar, los cuales
quedan a criterio del auditor de acuerdo al previo que se ha dado hasta aqu.
Anlisis de riesgos
Flujogramas de control
Cuestionarios de control
Matrices de control
Que se tengan convenios por escrito para los casos que se requieran
recursos extra-empresa