Documente Academic
Documente Profesional
Documente Cultură
y de certificacin
Rafael Estevan de Quesada
PID_00142999
FUOC PID_00142999
Ninguna parte de esta publicacin, incluido el diseo general y la cubierta, puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningn medio, sea ste elctrico,
qumico, mecnico, ptico, grabacin, fotocopia, o cualquier otro, sin la previa autorizacin escrita
de los titulares del copyright.
FUOC PID_00142999
Introduccin
Con el objetivo de reducir los incidentes de seguridad, las organizaciones tienen implantadas una serie de medidas con la idea de que, si ocurren, las consecuencias que provoquen sean mnimas. La seleccin de las medidas ms idneas estar basada en un proceso de anlisis del riesgo al que se encuentra sometida la informacin y, en ciertos casos, estas medidas habrn sido escogidas
de un catlogo de buenas prcticas reconocido por la industria, por ejemplo
en la Norma ISO/IEC 27002:2005 (anteriormente se denominaba 17799) o en
la COBIT (ltima versin, 4.1).
Por otra parte, las organizaciones ms preocupadas por la proteccin de su informacin son conscientes de que la seguridad total no se conseguir nunca;
por ello, para tratar de lograr esa seguridad global en una organizacin, tambin se requieren unos planes de continuidad de negocio.
Todas estas medidas de seguridad y los mecanismos para gestionarlos conforman lo que se denomina un sistema de gestin de la seguridad de la informacin
(SGSI), un sistema que tiene por objetivo tratar de evitar los incidentes de seguridad; pero, si llegan a ocurrir, que se puedan gestionar de la mejor manera
posible y, por ltimo, que a lo largo del tiempo se pueda aprender de las conclusiones obtenidas y mejorar los mecanismos de seguridad.
Sin embargo, cabe recordar que la seguridad es un proceso vivo, que no es
una meta que se alcanza, que debe estar en constante revisin y que es fundamental que en todo momento las medidas de seguridad de que dispone la
organizacin reflejen la situacin actual y se adecuen al entorno en que sta
se encuentra.
Por esta razn se producen constantes cambios tanto en la configuracin de
los sistemas de informacin, como en el propio entorno en que se encuentran.
Por lo que es recomendable disponer de algn tipo de mecanismo de revisin,
preferiblemente independiente, con el objetivo de que se detecten los aspectos
que puedan ser ms vulnerables o que no estn correctamente configurados.
Estas revisiones de la seguridad de una organizacin se denominan auditoras
de seguridad. Forman parte de este ciclo vivo de la seguridad y permiten asegurar que los controles de seguridad implantados son los ms adecuados y estn correctamente configurados.
Cuando las auditoras de seguridad se basan en la revisin del conjunto de
medidas y de su proceso de gestin frente a normativas vigentes y concretamente frente a la ISO/IEC 27001, nos encontramos con procesos que pretenden comprobar que la gestin de la seguridad se realiza de manera acorde a
FUOC PID_00142999
unos parmetros reconocidos por la industria y da como resultado las denominadas certificacionesdeseguridaddelsistemadegestindelaseguridad
delainformacin.
Por otra parte, tambin resulta interesante resaltar que actualmente nos encontramos ante la obligacin legal de comprobar peridicamente las medidas
de seguridad implantadas para reducir los riesgos que amenazan la informacin. Tanto en el marco de la legislacin en materia de proteccin de datos (en
Espaa, Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal y
su legislacin de acompaamiento, ms concretamente el Real Decreto 994/
1999 de Reglamento de Medidas de Seguridad de los Ficheros Automati zados
que contengan Datos de Carcter Personal), como en el marco financiero (en
el mbito europeo, los acuerdos Basilea II, y para todas las empresas cotizadas
en Estados Unidos, la ley Sarbanes-Oxley), se exige realizar peridicamente
revisiones del riesgo operacional y por tanto, se deriva la necesidad de realizar auditoras de seguridad de los sistemas de informacin. En este sentido,
es interesante destacar un resumen de la seccin 404 de ley Sarbanes Oxley
disponible en el sitio web de la AICPA, que expresa esta necesidad claramente:
"Section 404: Management Assessment of Internal Controls
Requires each annual report of an issuer to contain an "internal control report", which
shall:
1) state the responsibility of management for establishing and maintaining an adequate
internal control structure and procedures for financial reporting; and
2) contain an assessment, as of the end of the issuer's fiscal year, of the effectiveness of
the internal control structure and procedures of the issuer for financial reporting."
FUOC PID_00142999
Actividades
Preguntasdeeleccinmltiple
1.Cul de las siguientes opciones define ISO/IEC 27001?
a) Cdigo de buenas prcticas para la gestin de la seguridad de la informacin.
b) Sistemas de gestin de la calidad.
c) Especificaciones para los sistemas de gestin de la seguridad de la informacin.
d) Sistemas de gestin medioambiental.
2.ISO/IEC 27002 es...
a) un conjunto de normas ISO para asegurar los sistemas informticos.
b) un modelo de normas ISO que define la interconexin de sistemas a travs de 7 niveles.
c) un conjunto de normas ISO para gestionar los sistemas de seguridad de la informacin.
d) Las tres anteriores son vlidas.
3.Cuntos controles componen la ISO/IEC 27002 versin 2005?
a) 129
b) 36
c) 133
d) 10
4.Y objetivos?
a) 41
b) 129
c) 36
d) 10
5.Cul de los siguientes fundamentos no es imprescindible para implantar un sistema de
gestin de la seguridad de la informacin?
a) Definir el alcance del SGSI.
b) Llevar a cabo un anlisis de riesgos.
c) Implantar todos los controles de la norma.
d) Evaluar los riesgos detectados.
6.Cul es el orden de un plan de accin coherente para implantar un SGSI?
a) Nivel estratgico, nivel tctico, nivel operativo.
b) Nivel tctico, nivel estratgico, nivel operativo.
c) Nivel operativo, nivel tctico, nivel estratgico.
d) Nivel estratgico, nivel operativo, nivel tctico.
7.Acorde con qu sistema de gestin se ha desarrollado la norma?
a) ISO 14000 e ISO 37000
b) ISO 9001 e ISO 14001
c) ISO 14001 e ISO 13569
d) ISO 9001 e ISO 14032
8.Qu nuevo requisito se impone para una auditora o una certificacin ISO/IEC 27001 con
respecto a BS 7799-2:2002?
a) Controlar el acceso al sistema operativo.
b) Implantar un sistema de deteccin de intrusos.
c) Realizar un control de mtricas e indicadores de funcionamiento del SGSI.
d) Ninguno.
9.El papel del auditor del SGSI es...
a) valorar la eficacia del SGSI.
b) comprobar el grado de implantacin.
c) registrar evidencias e informar de los hallazgos.
d) Todos los anteriores.
10.Cmo puede un auditor seguir la trazabilidad de un SGSI?
a) A travs de los controles implantados.
b) A travs de la informacin comercial.
c) A travs del precio de la certificacin.
d) A travs de la experiencia de la consultora que implant el SGSI.
11.Qu significa el modelo PDCA?
a) Proponer, desarrollar, calibrar, asociar.
b) Planificar, desarrollar, consultar, actuar.
c) Planificar, disear, corresponder, asimilar.
d) Planificar, ejecutar, verificar, actuar.
FUOC PID_00142999
FUOC PID_00142999
d) A la alta direccin.
23.Qu debe incorporar al menos la poltica de seguridad?
a) Definicin de seguridad, compromiso de la direccin, explicaciones breves de polticas,
responsabilidades, referencias a otros documentos.
b) Definicin de seguridad, polticas detalladas, destinatarios del documento, referencias a
otros documentos.
c) Definicin de seguridad, compromiso de la direccin, responsabilidades, referencias a
leyes de aplicacin, firma del administrador.
d) Poltica detallada de control de accesos, seguridad en contrataciones, versin del documento y firma del director general.
24.Cmo definir el alcance de un SGSI?
a) En base al feeling del administrador de sistemas.
b) En base a la facturacin anual de la organizacin.
c) En base al nivel de acceso de los usuarios.
d) En base a las caractersticas de la organizacin, localizaciones, activos o tecnologas.
25.El alcance de un SGSI queda reflejado en...
a) la poltica de contraseas.
b) el certificado obtenido.
c) el organigrama de la organizacin.
d) el log de operaciones del administrador.
26.En base a qu se debe seleccionar los controles que se han de implementar?
a) Al nmero de ataques recibidos en el ltimo mes.
b) Al anlisis de riesgos efectuado.
c) Al nivel de riesgo de las bases de datos.
d) Al nivel de los ficheros de datos personales.
27.Cul de las siguientes afirmaciones es falsa en referencia al alcance de un SGSI?
a) El alcance puede ser toda o parte de la organizacin.
b) Puede estar definido por caractersticas de la organizacin, localizaciones, tecnologas,
activos u organigrama.
c) Si el alcance se modifica, el certificado sigue siendo vlido hasta la siguiente auditora
obligatoria.
d) La subdivisin del alcance facilita el nombramiento de responsabilidades.
28.Qu es el riesgo residual?
a) El riesgo que permanece, una vez aplicados los controles seleccionados.
b) El que existe sin haber aplicado ningn control.
c) El que supone un riesgo para la continuidad del negocio.
d) El no detectado sobre un activo.
29.Cul de las siguientes afirmaciones es falsa?
a) Un anlisis de riesgos proporciona una seleccin de controles proporcionales al riesgo.
b) Un anlisis de riesgos proporciona la deteccin de requisitos de seguridad.
c) Un anlisis de riesgos ayuda a detectar los riesgos sobre los activos.
d) Un anlisis de riesgos detecta el riesgo que no pueden cambiar.
30.Qu es el riesgo intrnseco?
a) Es la posibilidad de que se produzca un impacto determinado en un activo.
b) El riesgo que existe despus de aplicar una salvaguarda.
c) El riesgo que supone una amenaza para la continuidad del negocio.
d) El riesgo no detectado sobre un activo.
31.Qu es el umbral de riesgo?
a) El riesgo que permanece una vez aplicados los controles seleccionados.
b) El estimado como riesgo no necesario a proteger por su bajo impacto en el funcionamiento de la organizacin.
c) La potencialidad de que una amenaza se materialice.
d) El punto que la direccin de la organizacin identifica como frontera entre un riesgo
asumible de uno no asumible.
32.Quin es el responsable de aceptar y asumir el riesgo residual?
a) El administrador de sistemas.
b) El comit de seguridad.
c) La direccin de la organizacin.
d) El auditor del SGSI.
33.Qu es una amenaza?
a) Es la posibilidad de que se produzca una vulnerabilidad en un riesgo determinado.
FUOC PID_00142999
FUOC PID_00142999
FUOC PID_00142999
10
Determina cmo se clasificaran cada uno de los siguientes hallazgos que ha hecho el equipo
de auditora (conforme, observacin, no conformidad menor, no conformidad mayor) y a
qu partes de la norma ISO 27001 afectan o a qu controles de la norma ISO/IEC 27002:2005.
1.Al hacer una revisin de las copias de seguridad, se detect que se hacen copias de uno
de los servidores de aplicaciones que est inventariado y que est incluido en el anlisis de
riesgos
2.Existe un servidor que no est etiquetado. Al hacer las comprobaciones oportunas se detect que no est inventariado. Tampoco se encontraron evidencias de la autorizacin para
su instalacin.
3.La herramienta antivirus se actualiza una vez a la semana.
4.La secretaria del director general no ha recibido ninguna formacin en materia de seguridad de la informacin.
5.Existe una queja formal de un cliente porque su competencia obtuvo informacin sobre
la aplicacin que se le estaba desarrollando, a travs de la contratacin de uno de los programadores que estaban trabajando en la empresa del solicitante.
6. La organizacin no cuenta con un firewall, ni ninguna otra medida de seguridad para
proteger la lnea de comunicaciones por la que se accede a Internet.
7.No se han encontrado las especificaciones aportadas por el cliente para tres proyectos.
La informacin est inventariada y clasificada como confidencial.
8.La organizacin ha recibido una sancin de la APD por no atender el derecho de cancelacin de uno de sus clientes.
9.La poltica de seguridad especifica que todos los empleados deben notificar inmediatamente los incidentes de seguridad. Sin embargo, varios de los empleados entrevistados declaran
que no saben qu es un incidente y que no han recibido formacin al respecto.
10.El personal del departamento de sistemas ha declarado que utiliza un sniffer para monitorizar la informacin que algunos empleados envan por correo electrnico. Esta aplicacin no
est incluida en el inventario, ni tampoco existe evidencia de que se haya autorizado su uso.
11.Las claves de los usuarios se cambian dos veces al ao.
12.El rack donde estn los elementos de red de la organizacin est abierto y no se ha encontrado la llave. La poltica de seguridad establece que debe permanecer cerrado.
13.La poltica de seguridad establece que todas las personas que visiten la organizacin deben
llevar una tarjeta identificativa. Sin embargo, el equipo de auditora ha visto varias visitas
que no la llevaban, aunque iban acompaados por personal de la organizacin.
14.La poltica de seguridad establece la disponibilidad como uno de los criterios de seguridad
que se han de garantizar. Sin embargo, la organizacin no dispone de medidas destinadas a
garantizar la disponibilidad de los sistemas. En el anlisis de riesgos no se ha incluido ningn
riesgo por falta de disponibilidad de los sistemas.
15.La organizacin cuenta con la colaboracin de tres becarios en el departamento de desarrollo, pero en los contratos entre la universidad y la organizacin no existe ninguna clusula
referente a la seguridad o a la confidencialidad de su trabajo.
FUOC PID_00142999
11
Contenidos
Mdulo didctico1
Introduccin a la auditora informtica
Rafael Estevan de Quesada
1.
Definicin de auditora
2.
3.
Proceso de auditora
4.
Programa de auditora
5.
6.
7.
Equipo auditor
8.
El peritaje informtico
Mdulo didctico2
Auditora de certificacin ISO 27001
Rafael Estevan de Quesada
1.
2.
3.
Mdulo didctico3
Auditora tcnica de seguridad
Rafael Estevan de Quesada
1.
2.
3.
Tipos de auditoras
4.
Mdulo didctico4
Metodologas
Rafael Estevan de Quesada
1.
2.
3.
4.
Mdulo didctico5
Tcnicas de auditoras
Rafael Estevan de Quesada
1.
Revisin de documentacin
2.
Entrevistas
3.
Visitas de auditora
4.
12
FUOC PID_00142999
Bibliografa
Peltier, Thomas R.; Peltier, Justin; Blackley, John A. (2003). Managinga
Network Vulnerability Assessment . Auerbach Publications.
McNab, Chris (2004). Network Security Assessment. O'Reilly.
Deraison, Renaud; Meer, Haroon; Temmingh, Roelof; van der Walt,
Charl; Alder, Raven; Alderson, Jimmy; Johnston, Andy; Theall,
George A. (2004). Nessus Network Auditing. Syngress Publishing.
Jack J. Champlain (2003). Auditing Information Systems. John Wiley and
Sons, 2nd Edition.
Rogers, Russ; Miles, Greg; Fuller, Ed; Dykstra, Ted; Hoagberg, Matthew (2004).Security Assessment: Case Studies for Implementing the NSA IAM. Syngress Publishing.
ISACA. COBIT 3rd Edition, 4th Edition. Information Systems Audit and Control Foundation (ISACF) y Information Technology Governance Institute.
ISACA. COBIT 3rd Edition Audit Guidelines. Information Systems Audit and
Control Foundation (ISACF) y Information Technology Governance Institute.
ISACA. IS Standards, Guidelines and Procedures for Auditing and Control
Professionals.Information Systems Audit and Control Foundation (ISACF) y Information Technology Governance Institute.
NIST. NIST SP 800 26: Security Self-Assessment Guide for IT Systems. U.S. Government Printing Office.
NIST. NIST SP 800 42: Guideline on Network Security Testing. U.S. Government
Printing Office.
PCI Security Standard Council. Payment Card Industry (PCI) Data Security
Standard: version 1.1. PCI Security Standard Council.
PCI Security Standard Council. Payment Card Industry (PCI) Data Security
Standard: Security Audit Procedures. PCI Security Standard Council.
Pete Herzog (dir.) y otros. Open-Source Security Testing Methodology Manual.
ISECOM.
Varios autores. OWASP Guide to building Secure Web Applications and Web
Services. Disponible en http://www.owasp.org/index.php/Guide. OWASP.
Varios
autores.
OWASP
Testing
Guide.
Disponible
www.owasp.org/index.php/OWASP_Testing_Project. OWASP
en
http://