04 ai seguridad
DESCRIPTION
CLASE 4 - GAFITA PRECIOSA..!!TRANSCRIPT
1
Conceptos Generales de la Conceptos Generales de la SSeguridad eguridad de TIde TI
2
AUDITORIA DE LA SEGURIDADAUDITORIA DE LA SEGURIDAD
Para muchos la seguridad sigue siendo el área principal a auditar. Puede haber seguridad sin auditoria, puede existir auditoria de otras áreas y queda un espacio de encuentro: la auditoria de la seguridad.
3
EVALUACION DE RIESGOSEVALUACION DE RIESGOS
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que lo eliminen; lo que generalmente no es posible; o, que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de información almacenada, procesada y trasmitida, la criticidad de las aplicaciones, la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento.
4
Problemas de Red24%
Otros23%
Robo de Data7%
Sabotaje
5%
Fallas de la
11%
,a la red
Virus de Computadora
12%
Error de
14%
Problemas de Seguridad Relacionados con la Problemas de Seguridad Relacionados con la Pérdida FinancieraPérdida Financiera
Ingresos
4%
Computadora
Software
5
FASES DE LA AUDITORIA DE SEGURIDADFASES DE LA AUDITORIA DE SEGURIDAD
Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad.
Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de especialistas necesarios, sobre todo en la auditoria externa.
Realización de entrevistas y pruebas Análisis de resultado y valoración de riesgos. Presentación y discusión del informe provisional. Informe definitivo.
6
AUDITORIA DE SEGURIDAD FISICAAUDITORIA DE SEGURIDAD FISICA
Ubicación de los centros de procesos y de los servidores locales y en general cualquier elemento a proteger.
Estructura, diseño construcción y distribución de los edificios y de sus plantas.
Amenazas de fuego. Controles preventivos. Control de acceso, en determinados edificios. Protección de los soportes magnéticos en cuanto a
acceso, almacenamiento y posible transporte.
7
AUDITORIA DE SEGURIDAD LOGICAAUDITORIA DE SEGURIDAD LOGICA
Es necesario verificar que cada usuario solo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado. Algunos aspectos a evaluar:
Quien asigna la contraseña: inicial y sucesivas. Longitud mínima y composición de caracteres . Vigencias Numero de intentos Protección o cambio de las contraseñas .
8
SEGURIDAD DE TISEGURIDAD DE TI
Definición:Definición:
Una política de seguridadde TI es una forma de comunicarse Una política de seguridadde TI es una forma de comunicarse con los usuarios, ya que la mism establece un canal formal de con los usuarios, ya que la mism establece un canal formal de actuación del personal, en relación con los recursos y servicios actuación del personal, en relación con los recursos y servicios informáticos de la organización.informáticos de la organización.
9
Criterios de SEGURIDADCriterios de SEGURIDAD
La falta de accesibilidad produce una denegación de La falta de accesibilidad produce una denegación de servicio, que es uno de los ataques más frecuentes en servicio, que es uno de los ataques más frecuentes en Internet.Internet.
CCualquier entidad que envía o recibe datos no puede alegar ualquier entidad que envía o recibe datos no puede alegar o o desconocer el hecho.desconocer el hecho.
Los dos criterios anteriores son especialmente importantes Los dos criterios anteriores son especialmente importantes en el entorno bancario y de comercio electrónicoen el entorno bancario y de comercio electrónico..
Los usuarios deben saber que sus actividades quedan Los usuarios deben saber que sus actividades quedan registradas.registradas.
10
SEGURIDAD DE SISTEMAS SEGURIDAD DE SISTEMAS OPERATIVOSOPERATIVOS
Brevemente, algo de Windows NT o Windows 200X Brevemente, algo de Windows NT o Windows 200X ServerServer
11
AuditoriasAuditoriasa)a) A Auditorias de cuentas de usuariosuditorias de cuentas de usuarios::
El Sistema de auditorias de Windows NT permite rastrear sucesos que El Sistema de auditorias de Windows NT permite rastrear sucesos que ocurren en una máquina NT, servidor de dominio o estación o servidor ocurren en una máquina NT, servidor de dominio o estación o servidor NT . NT .
La política de auditorias se establece en cada máquina NT. Se pueden La política de auditorias se establece en cada máquina NT. Se pueden realizar realizar variosvarios tipos de auditorias en NT: tipos de auditorias en NT:
Los eventos que se pueden auditar son:Los eventos que se pueden auditar son:
·· Logon y logoff en la red Logon y logoff en la red
·· Acceso a ficheros , directorios o impresoras Acceso a ficheros , directorios o impresoras
·· Ejercicio de los derechos de un usuario Ejercicio de los derechos de un usuario
·· Seguimiento de procesos Seguimiento de procesos
·· Arranque del sistema...Arranque del sistema...
12
b)b) A Auditorias del sistema de archivosuditorias del sistema de archivos::
LLos eventos que se pueden auditar son: lectura, escritura, ejecución, os eventos que se pueden auditar son: lectura, escritura, ejecución, eliminación, cambio de permisos y toma de posesión.eliminación, cambio de permisos y toma de posesión.
Seguridad de Base de Datos.Seguridad de Base de Datos.
El primer filtro de seguridad de la Base de Datos lo constituye, El primer filtro de seguridad de la Base de Datos lo constituye, evidentemente, el Sistema Operativo.evidentemente, el Sistema Operativo.
Dada la complejidad de los problemas anteriores, es el propio Sistema Dada la complejidad de los problemas anteriores, es el propio Sistema de Gestión de Bases de Datos (SGBD) el que proporciona la de Gestión de Bases de Datos (SGBD) el que proporciona la seguridad de éstas. Un SGBD debe mantener los tres criterios seguridad de éstas. Un SGBD debe mantener los tres criterios básicos:básicos:
– – Confidencialidad.Confidencialidad.
– – Integridad.Integridad.
– – Disponibilidad.Disponibilidad.
13
La seguridad en Bases de Datos se implementa medianteLa seguridad en Bases de Datos se implementa mediante mecanismos de:mecanismos de:
– – Identificación y autentificación.Identificación y autentificación.
– – Control de acceso a los objetos (datos y recursos).Control de acceso a los objetos (datos y recursos).
– – Registro de auditoria.Registro de auditoria.
– – Protección criptográfica de alguno de los datosProtección criptográfica de alguno de los datos..
14
Las posibles vulnerabilidades en la Bases de Datos son:Las posibles vulnerabilidades en la Bases de Datos son:
– – Ataques Directos: revelación, alteración y destrucción de datos.Ataques Directos: revelación, alteración y destrucción de datos.
• • La prevención frente a este tipo de ataques pasa por mecanismos de La prevención frente a este tipo de ataques pasa por mecanismos de identificación, autentificación y control de accesoidentificación, autentificación y control de acceso..
15
– – Ataques Directos: Inferencias estadísticas.Ataques Directos: Inferencias estadísticas.
• • Tratan de descubrir datos sensibles, y privados, en base a parámetros Tratan de descubrir datos sensibles, y privados, en base a parámetros estadísticos que son de acceso más libre (valores medios, desviaciones, estadísticos que son de acceso más libre (valores medios, desviaciones, máximos. máximos.
– – Ataques indirectos: Caballo de Troya.Ataques indirectos: Caballo de Troya.
• • Son programas hostiles que actúan solapándose bajo un programa Son programas hostiles que actúan solapándose bajo un programa normal. Cuando éste se procesa, el caballo de Troya ataca a la Base de normal. Cuando éste se procesa, el caballo de Troya ataca a la Base de Datos soslayando los mecanismos de protección.Datos soslayando los mecanismos de protección.
16
AUDITORIA DE LA SEGURIDAD DE LOS AUDITORIA DE LA SEGURIDAD DE LOS
DATOSDATOS
Es necesario la designación de propietarios. Clasificación de los datos. Restricción de su uso para pruebas. Aquellos soportes que tengan datos o información de los
niveles más críticos estarán especialmente protegidos, incluso cifrados.
En el caso de transporte de datos clasificados, debe realizarse por canales seguros, y si es en soporte magnético o por transmisión deben ir cifrados.
17
TECNICAS PARA EL CONTROL DE BASE DE
DATOS :
* Matrices de control
* Análisis de caminos de acceso
18
MATRIZ DE CONTROLMATRIZ DE CONTROL
Sirve para identificar los conjuntos de datos del SI juntocon los controles de seguridad o integridad de los mismos.
DATOS CONTROLES DE SEGURIDAD
PREVENTIVOS DETECTIVOS CORRECTIVOS
TRANSACCIONES DE ENTRADA
VERIFICACIONINFORME DE
RECONCILIACION
REGISTROS DE BASE DE DATOS
CIFRADOINFORME DE EXCEPCION
COPIA DE SEGURIDAD
19
ANALISIS DE LOS CAMINOS DE ACCESOANALISIS DE LOS CAMINOS DE ACCESO
MONITOR DE
TELEPROCESO
MONITOR DE
TELEPROCESO
PAQUETE DE
SEGURIDAD
PAQUETE DE
SEGURIDAD
PROGRAMA
PROGRAMA SGBDSGBD SOSO
DATOSDATOS
CONTROLES
DIVERSOS
COPIAS DE SEGURIDADFICHERO DIARIOINTEGRIDAD DE DATOS
CONTROL DE ACCESOCONTROL DE INTEGRIDAD DE DATOS
CONTROL ACCESOREGISTRO DE ACCESOINFORME DE EXCEPCIONES
CONTROL ACCESOREGISTRO DE TRANSATRANSACCIONES
ORDENADOR
PERSONALUSUARIO
SEGURIDADE CIFRADO
FORMACION CONTROLESPROCEDIMIENTO
CONTROL ACCESO CIFRADOCONTROL INTEGRIDAD
ORDENADOR CENTRAL
20
Formas de ProtecciónFormas de Protección::
El firewall mantiene separada su red interna (de la cual usted tiene control) El firewall mantiene separada su red interna (de la cual usted tiene control) de diferentes tipos de redes externas (de las cual usted NO tiene control). de diferentes tipos de redes externas (de las cual usted NO tiene control). El firewall controla la entrada y salida de trafico protegiendo su red de El firewall controla la entrada y salida de trafico protegiendo su red de intromisiones indeseadas.intromisiones indeseadas.
La función del firewall es ser una sólida barrera entre su red y el mundo La función del firewall es ser una sólida barrera entre su red y el mundo exterior. Este permite habilitar el acceso a usuarios y servicios aprobadosexterior. Este permite habilitar el acceso a usuarios y servicios aprobados. .
21
AUDITORIA DE LA SEGURIDAD EN AUDITORIA DE LA SEGURIDAD EN
COMUNICACIONES Y REDESCOMUNICACIONES Y REDES Algunos puntos complementarios a revisar son: Tipos de redes y conexiones. Información y programas transmitidos, y uso de cifrado. Tipos de transacciones. Tipos de terminales y protecciones: físicas, lógicas, llamada
de retorno. Protección de transmisiones por fax si el contenido está
clasificado. Protección de conversaciones de voz . Transferencia de ficheros y controles existentes.
22
AUDITORIA DE LA CONTINUIDAD DE LAS AUDITORIA DE LA CONTINUIDAD DE LAS
OPERACIONESOPERACIONES Revisar si existe el Plan de Contingencia o Plan de
Continuidad; si es completo y actualizado, si cubre procesos, áreas y plataformas.
Evaluar los resultados de las pruebas que se hayan realizado.
Si las revisiones no aportan garantías suficientes, se debe sugerir pruebas complementarias o hacerlo constar en el informe.
Revisar la existencia de copias actualizadas de los recursos vitales en un lugar distante y en condiciones adecuadas
23
Evaluación de la Seguridad Física y Evaluación de la Seguridad Física y LógicaLógica
24
Consola del Operador.Consola del Operador.
La mayoría de las consolas de operador La mayoría de las consolas de operador no tienen controles fuertes de acceso no tienen controles fuertes de acceso lógico y proveen un alto nivel de acceso lógico y proveen un alto nivel de acceso al sistema de la computadora; por lo al sistema de la computadora; por lo tanto, la terminal debe estar ubicada en tanto, la terminal debe estar ubicada en un área asegurada físicamente.un área asegurada físicamente.
Vías de Acceso LógicoVías de Acceso Lógico
El acceso lógico a la computadora puede obtenerse a través de El acceso lógico a la computadora puede obtenerse a través de diversas vías. Cada vía está sujeta a niveles apropiados de diversas vías. Cada vía está sujeta a niveles apropiados de seguridad de acceso. Los métodos de acceso incluyen los seguridad de acceso. Los métodos de acceso incluyen los siguientes:siguientes:
Aspectos a ConsiderarAspectos a Considerar
25
Terminales en Línea.Terminales en Línea.
Las computadoras personales (PCs) se usan a menudo como Las computadoras personales (PCs) se usan a menudo como terminales de acceso en línea a través de un software de emulación de terminales de acceso en línea a través de un software de emulación de terminal. Esto plantea un riesgo particular ya que las PCs pueden ser terminal. Esto plantea un riesgo particular ya que las PCs pueden ser programadas para almacenar y para recordar al usuario los códigos de programadas para almacenar y para recordar al usuario los códigos de acceso y las contraseñas.acceso y las contraseñas.
Procesamiento de Trabajos en Lote.Procesamiento de Trabajos en Lote.
La seguridad se logra restringiendo las personas que pueden acumular La seguridad se logra restringiendo las personas que pueden acumular transacciones (funcionarios de ingreso de datos) y las personas que transacciones (funcionarios de ingreso de datos) y las personas que pueden iniciar el procesamiento de los lotes (los operadores de pueden iniciar el procesamiento de los lotes (los operadores de computadora o el sistema automático de cronogramas de trabajo). computadora o el sistema automático de cronogramas de trabajo). Además, se deben controlar cuidadosamente los procedimientos y/o Además, se deben controlar cuidadosamente los procedimientos y/o las autorizaciones para manipular las transacciones acumuladas antes las autorizaciones para manipular las transacciones acumuladas antes de procesar el lote.de procesar el lote.
26
Puertos de Llamada.Puertos de Llamada.
Se logra la seguridad proporcionando un medio para identificar el Se logra la seguridad proporcionando un medio para identificar el usuario remoto a fin de determinar la autorización de acceso.usuario remoto a fin de determinar la autorización de acceso. Esto Esto puede ser una línea de rellamada, el uso de número de usuario de inicio puede ser una línea de rellamada, el uso de número de usuario de inicio de sesión y un software de control de acceso o puede requerir que un de sesión y un software de control de acceso o puede requerir que un operador de computadora verifique la identidad del que llama y luego operador de computadora verifique la identidad del que llama y luego suministre la conexión a la computadora.suministre la conexión a la computadora.
Archivos de Datos.Archivos de Datos.
Hubo un tiempo en que se creía que los virus no podían infectar los Hubo un tiempo en que se creía que los virus no podían infectar los archivos de datos, pero recientemente se ha escrito que los virus archivos de datos, pero recientemente se ha escrito que los virus también infectan los archivos de datos. Los virus pueden diseminarse también infectan los archivos de datos. Los virus pueden diseminarse rápidamente en toda una red de área local (LANrápidamente en toda una red de área local (LAN). ).
27
Software de Control de Acceso.Software de Control de Acceso.
El software de control de acceso está diseñado para prevenir el acceso El software de control de acceso está diseñado para prevenir el acceso no autorizado a los datos, el uso de las funciones y de los programas de no autorizado a los datos, el uso de las funciones y de los programas de sistema, actualizaciones /cambios no autorizados a los datos y detectar sistema, actualizaciones /cambios no autorizados a los datos y detectar o impedir un intento no autorizado de entrar a los recursos de la o impedir un intento no autorizado de entrar a los recursos de la computadora. El software de control de acceso interactúa con el sistema computadora. El software de control de acceso interactúa con el sistema operativo y actúa como un control central para todas las decisiones de operativo y actúa como un control central para todas las decisiones de seguridad.seguridad.
SERVIDORCLIENTE
28
Propiedad de los Datos.Propiedad de los Datos.
El Auditor de El Auditor de TITI puede usar esta información para determinar si dicha puede usar esta información para determinar si dicha propiedad se ha asignado a la persona correcta. propiedad se ha asignado a la persona correcta.
EEl Auditor de l Auditor de TITI puede determinar si ellos están conscientes de las puede determinar si ellos están conscientes de las responsabilidades implícitas en la propiedad de los datos. responsabilidades implícitas en la propiedad de los datos.
El Auditor de El Auditor de TITI debe también revisar un muestra de descripciones de debe también revisar un muestra de descripciones de puestos de trabajo para asegurar que las responsabilidades y funciones puestos de trabajo para asegurar que las responsabilidades y funciones sean consistentes con la política de seguridad de la información. sean consistentes con la política de seguridad de la información.
El auditor debe revisar la clasificación de los datos y evaluar si la misma El auditor debe revisar la clasificación de los datos y evaluar si la misma es la adecuada en la medida que se relaciona con el área que está en es la adecuada en la medida que se relaciona con el área que está en revisión.revisión.
Aspectos a ConsiderarAspectos a Considerar
29
Los Propietarios de los DatosLos Propietarios de los Datos
Sus responsabilidades de seguridad incluyen autorizar el accesoSus responsabilidades de seguridad incluyen autorizar el acceso..
AAsegurar que estén actualizadas las reglas de acceso cuando ocurran segurar que estén actualizadas las reglas de acceso cuando ocurran cambios de personalcambios de personal..
IInventariar periódicamente las reglas de acceso para los datos de los nventariar periódicamente las reglas de acceso para los datos de los que son responsables.que son responsables.
Administrador de Seguridad.Administrador de Seguridad.
Los administradores de seguridad son responsables de proveer la Los administradores de seguridad son responsables de proveer la seguridad física y lógica adecuada para los programas de ISseguridad física y lógica adecuada para los programas de IS..
LLa política de seguridad de información proveerá las directrices a política de seguridad de información proveerá las directrices básicos bajo los cuales operará el administrador de seguridad.básicos bajo los cuales operará el administrador de seguridad.
30
Los Usuarios de Datos.Los Usuarios de Datos.
Sus niveles de acceso a la computadora deben ser autorizados por Sus niveles de acceso a la computadora deben ser autorizados por los propietarios de datos y deben ser restringidos y monitoreados por el los propietarios de datos y deben ser restringidos y monitoreados por el administrador de seguridad. administrador de seguridad.
Autorizaciones Documentadas.Autorizaciones Documentadas.
El acceso a los datos debe identificarse y ser autorizado por escrito. El acceso a los datos debe identificarse y ser autorizado por escrito.
El Auditor de El Auditor de TITI puede revisar una muestra de estas autorizaciones puede revisar una muestra de estas autorizaciones para determinar si se proveyó el nivel apropiado de autoridad por para determinar si se proveyó el nivel apropiado de autoridad por escritoescrito..
31
Normas de Acceso.Normas de Acceso.
El Auditor de ÍS debe revisar las normas de acceso para asegurar que El Auditor de ÍS debe revisar las normas de acceso para asegurar que las mismas cumplan con los objetivos de la organizaciónlas mismas cumplan con los objetivos de la organización..
QQue cumplue cumplaan con los requerimientos de las políticas para minimizar el n con los requerimientos de las políticas para minimizar el riesgo de acceso no autorizado.riesgo de acceso no autorizado.
Revisión de las políticas, los procedimientos y las normas escritasRevisión de las políticas, los procedimientos y las normas escritas
El Auditor de El Auditor de TITI debe revisar las políticas y los procedimientos para debe revisar las políticas y los procedimientos para determinar si los mismos fijan las pautas para la debida seguridad y determinar si los mismos fijan las pautas para la debida seguridad y proveen un medio para asignar la responsabilidad del mantenimiento de proveen un medio para asignar la responsabilidad del mantenimiento de un ambiente seguro de procesamiento de computadoraun ambiente seguro de procesamiento de computadora..
32
Política de PasswoardPolítica de Passwoard::
Políticas de Seguridad de Acceso LógicoPolíticas de Seguridad de Acceso Lógico
Estas pEstas políticas olíticas deben estimular la limitación del acceso lógico a deben estimular la limitación del acceso lógico a una base de necesidad de saber. Ellas deben estimar de manera una base de necesidad de saber. Ellas deben estimar de manera razonable la exposición a las preocupaciones identificadas.razonable la exposición a las preocupaciones identificadas.
Conciencia y Entrenamiento Formal en SeguridadConciencia y Entrenamiento Formal en Seguridad
Promover la conciencia de la seguridad es un control preventivo. A Promover la conciencia de la seguridad es un control preventivo. A través de este proceso, los empleados se dan cuenta de sus través de este proceso, los empleados se dan cuenta de sus responsabilidades de mantener una buena seguridad física y responsabilidades de mantener una buena seguridad física y lógica. lógica. EEl Auditor de l Auditor de TITI debe entrevistar una muestra representativa debe entrevistar una muestra representativa de empleados para determinar su conciencia de la seguridad. de empleados para determinar su conciencia de la seguridad.
33
Alcance de la Auditoria a la Seguridad LógicaAlcance de la Auditoria a la Seguridad Lógica
1.1. Manejo de las Medidas de Seguridad.Manejo de las Medidas de Seguridad.
2.2. Identificación, Autenticación y Acceso.Identificación, Autenticación y Acceso.
3.3. Seguridad de Acceso a Datos en Línea.Seguridad de Acceso a Datos en Línea.
4.4. Administración de Cuentas de Usuario.Administración de Cuentas de Usuario.
5.5. Revisión Gerencial de Cuentas de Usuario.Revisión Gerencial de Cuentas de Usuario.
6.6. Control de Usuario de las Cuentas de Usuario.Control de Usuario de las Cuentas de Usuario.
7.7. Clasificación de Datos.Clasificación de Datos.
8.8. Administración Centralizada de Identificación y Derechos de Acceso.Administración Centralizada de Identificación y Derechos de Acceso.
9.9. Reportes de Actividades de Violación y Seguridad.Reportes de Actividades de Violación y Seguridad.
10.10. Manejo de IncidentesManejo de Incidentes..
11.11. Autorización de Transacción.Autorización de Transacción.
34
Se cuenta con un plan de seguridad estratégicoSe cuenta con un plan de seguridad estratégico
Se cuenta con una organización de seguridad centralizada Se cuenta con una organización de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos del responsable de asegurar el acceso apropiado a los recursos del sistema.sistema.
Se cuenta con un esquema de clasificación de datos en Se cuenta con un esquema de clasificación de datos en operación que indique todos los recursos del sistemaoperación que indique todos los recursos del sistema..
Se cuenta con perfiles de seguridad de usuario que muestren Se cuenta con perfiles de seguridad de usuario que muestren revisiones regulares con fines de reacreditación.revisiones regulares con fines de reacreditación.
Existen políticas y procedimientos para:Existen políticas y procedimientos para:
ConsideranConsiderandodo
35
La función de servicios de información cumple con los estándares de La función de servicios de información cumple con los estándares de seguridad relacionados con:seguridad relacionados con:
· Autenticación y acceso.· Autenticación y acceso.
· Administración de clasificación de perfiles de usuario y seguridad de · Administración de clasificación de perfiles de usuario y seguridad de datos.datos.
· Reportes y revisión gerencial de la violación e incidentes de seguridad.· Reportes y revisión gerencial de la violación e incidentes de seguridad.
· Estándares criptográficos administrativos clave.· Estándares criptográficos administrativos clave.
· Detección de virus, solución y comunicación.· Detección de virus, solución y comunicación.
· Clasificación y propiedad de datos.· Clasificación y propiedad de datos.
Probando que: Probando que:
36
Llevando a CaboLlevando a Cabo: :
Una revisión detallada de la seguridad de los sistemas de información, Una revisión detallada de la seguridad de los sistemas de información, incluyendo evaluaciones de penetración de la seguridad, física y lógica incluyendo evaluaciones de penetración de la seguridad, física y lógica de los recursos computacionales, de comunicación, etc.de los recursos computacionales, de comunicación, etc.
Entrevistas a los nuevos empleados para asegurar el conocimiento y la Entrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las responsabilidades conciencia en cuanto a seguridad y en cuanto a las responsabilidades individualesindividuales..
Entrevistas a usuarios para asegurar que el acceso está determinado Entrevistas a usuarios para asegurar que el acceso está determinado tomando como base la necesidad y que la precisión de dicho acceso es tomando como base la necesidad y que la precisión de dicho acceso es revisada regularmente por la gerencia.revisada regularmente por la gerencia.
37
IdentificandoIdentificando: :
Accesos inapropiados por parte de los usuarios a los recursos del Accesos inapropiados por parte de los usuarios a los recursos del sistema.sistema.
Requisiciones informales o no aprobadas de acceso a los recursos Requisiciones informales o no aprobadas de acceso a los recursos del sistemadel sistema s software de monitoreo de redes que no indique a la oftware de monitoreo de redes que no indique a la administración de redes las violaciones a la seguridad.administración de redes las violaciones a la seguridad.
Defectos en los procedimientos de control de cambios del software Defectos en los procedimientos de control de cambios del software de redes.de redes.
La falta de software actualizado para la detección de virus o de La falta de software actualizado para la detección de virus o de procedimientos formales para prevenir, detectar, corregir y comunicar procedimientos formales para prevenir, detectar, corregir y comunicar contaminacionescontaminaciones..
38
1.1. Seguridad FísicaSeguridad Física
2.2. Bajo Perfil de las Instalaciones de Tecnología de InformaciónBajo Perfil de las Instalaciones de Tecnología de Información
3.3. Escolta de VisitantesEscolta de Visitantes
4.4. Salud y Seguridad del PersonalSalud y Seguridad del Personal
5.5. Protección contra Factores AmbientalesProtección contra Factores Ambientales
6.6. Suministro Ininterrumpido de EnergíaSuministro Ininterrumpido de Energía
Alcance de la Auditoria a la Seguridad FísicaAlcance de la Auditoria a la Seguridad Física
39
• • Entrada no autorizadaEntrada no autorizada
• • Daño, vandalismo o robo a los equipos o a los documentosDaño, vandalismo o robo a los equipos o a los documentos
• • Copia o visualización de información sensiCopia o visualización de información sensibleble o patentada o patentada
• • Alteración de equipos e información sensiAlteración de equipos e información sensiblebless
• • Revelación al público de información sensiRevelación al público de información sensibleble
• • Abuso de los recursos de procesamiento de datosAbuso de los recursos de procesamiento de datos
• • ChantajeChantaje
• • FraudeFraude
Problemas y exposiciones de Acceso FísicoProblemas y exposiciones de Acceso Físico
40
Posibles PerpetradoresPosibles Perpetradores
Los Los empleados empleados que tienen acceso autorizado o no autorizado que están:que tienen acceso autorizado o no autorizado que están:
• • Descontentos (irritados o preocupados por alguna acción emprendida por Descontentos (irritados o preocupados por alguna acción emprendida por la organización o por la gerencia de ésta)la organización o por la gerencia de ésta)
• • En huelgaEn huelga
• • Amenazados con una acción disciplinaria o con despidoAmenazados con una acción disciplinaria o con despido
• • Se les haya notificado su despidoSe les haya notificado su despido
• • Personas ajenas interesadas o informadas, como por ejemplo los Personas ajenas interesadas o informadas, como por ejemplo los competidores, ladrones, el crimen organizado y los intrusoscompetidores, ladrones, el crimen organizado y los intrusos..
• • El ignorante accidental - una persona que sin saberlo, comete una El ignorante accidental - una persona que sin saberlo, comete una violación (podría ser un empleado o una persona ajena).violación (podría ser un empleado o una persona ajena).
41
* * Otras preguntas y preocupaciones para considerar incluyen las Otras preguntas y preocupaciones para considerar incluyen las siguientes:siguientes:
• • ¿Las instalaciones de hardware están razonablemente protegidas ¿Las instalaciones de hardware están razonablemente protegidas contra las entradas forzadas?contra las entradas forzadas?
• • ¿Las llaves de las instalaciones de computadoras están controladas ¿Las llaves de las instalaciones de computadoras están controladas de una forma adecuada para reducir el riesgo de un acceso no de una forma adecuada para reducir el riesgo de un acceso no autorizado?autorizado?
• • ¿Están las terminales inteligentes de computadoras cerradas con llave ¿Están las terminales inteligentes de computadoras cerradas con llave o de otro modo aseguradas para impedir que se lleven las tarjetas, los o de otro modo aseguradas para impedir que se lleven las tarjetas, los chips y la computadora misma?chips y la computadora misma?
• • ¿Se requieren pases autorizados de los equipos antes de que los ¿Se requieren pases autorizados de los equipos antes de que los equipos de computadora sean sacados de sus áreas normales seguras?equipos de computadora sean sacados de sus áreas normales seguras?
42
Desde el punto de vista de Desde el punto de vista de TITI, las instalaciones que deben ser , las instalaciones que deben ser protegidas incluyen las siguientes:protegidas incluyen las siguientes:
• • El área de programaciónEl área de programación
• • La sala de computadorasLa sala de computadoras
• • Las consolas y terminales del OperadorLas consolas y terminales del Operador
• • Biblioteca de cintas, cintas, discos y todos los medios Biblioteca de cintas, cintas, discos y todos los medios magnéticosmagnéticos
• • Salas de almacenamiento y suministrosSalas de almacenamiento y suministros
• • Sala de control de Entrada/ SalidaSala de control de Entrada/ Salida
• • ArmariosArmarios de comunicaciones de comunicaciones
43
Auditoria al Acceso FísicoAuditoria al Acceso Físico
En este recorrido se debe incluir la instalación de procesamiento de En este recorrido se debe incluir la instalación de procesamiento de informacióninformación..
Ubicación de todas las consolas de operadorUbicación de todas las consolas de operador
Salas de impresiónSalas de impresión
Salas de almacenamiento de computadorasSalas de almacenamiento de computadoras..
UPS/GeneradorUPS/Generador
Ubicación de todos los equipos de comunicaciones Ubicación de todos los equipos de comunicaciones identificados en identificados en el diagrama de redel diagrama de red
Biblioteca de cintas.Biblioteca de cintas.
PC PC
44
Seguridad FísicaSeguridad Física
Controles de Acceso FísicoControles de Acceso Físico
Los controles de acceso físico están diseñados para proteger la Los controles de acceso físico están diseñados para proteger la organización contra los accesos no autorizadosorganización contra los accesos no autorizados..
AlAlgunos de los controles de acceso más comunes:gunos de los controles de acceso más comunes:
Cerraduras, de Puerta de CerrojoCerraduras, de Puerta de Cerrojo..
Cerraduras de Puerta de CombinaciónCerraduras de Puerta de Combinación..
Cerraduras Electrónicas de PuertasCerraduras Electrónicas de Puertas..
Cerraduras Biométricas de PuertasCerraduras Biométricas de Puertas..
Bitácora ManualBitácora Manual..
Bitácora ElectrónicaBitácora Electrónica..
45
AAuditando la uditando la SSeguridad de la eguridad de la IInfraestructura de nfraestructura de la la RReded
Revisión de los Diagramas de la RedRevisión de los Diagramas de la Red
IIdentifican las conexiones de telecomunicación entre la computadora, dentifican las conexiones de telecomunicación entre la computadora, las terminales y los dispositivos periféricoslas terminales y los dispositivos periféricos..
La Seguridad del Acceso RemotoLa Seguridad del Acceso Remoto
El El acceso remoto debe estar documentado y deben implementarse acceso remoto debe estar documentado y deben implementarse para los usuarios autorizados fuera del ambiente de redpara los usuarios autorizados fuera del ambiente de red..
46
Los controles de seguridad del Los controles de seguridad del ACCESO REMOTOACCESO REMOTO deben estar deben estar documentados y deben implementarse para los usuarios autorizados documentados y deben implementarse para los usuarios autorizados fuera del ambiente de red en el que se confía.fuera del ambiente de red en el que se confía.
• • El fírewaEl fírewalll debe negar implícitamente los servicios con excepción de l debe negar implícitamente los servicios con excepción de los que estén permitidos explícitamente.los que estén permitidos explícitamente.
• • El firewaEl firewalll debe poder filtrar el acceso de llamadas de entrada.l debe poder filtrar el acceso de llamadas de entrada.
• • Si el fírewaSi el fírewalll usa un sistema operativo, éste debe ser seguro.l usa un sistema operativo, éste debe ser seguro.
• • La fortaleza del fírewaLa fortaleza del fírewalll y la validez de su funcionalidad y los l y la validez de su funcionalidad y los parámetros deben poder ser verificadosparámetros deben poder ser verificados
47
Política de SeguridadPolítica de Seguridad
48
Política de SeguridadPolítica de Seguridad Clasificación de la Información (Sensible, Confidencial, Interna y
Pública) y su destrucción (non-disclosure). Evaluación de riesgos o Risk Assessment (confidencialidad,
integridad, criticidad). Gestión de Recursos Humanos alineados a la política y
programa de entrenamiento. Gestión y control de servicios de “outsourcing”. Controles operativos y perfiles (integridad de la info.). Controles de acceso y uso de todos los recursos. Gestión de antivirus, patches y fixes. Incidentes de seguridad a ser controlados, manejo y
escalamiento de los mismos. Metodología de revisión de seguridad y su aplicabilidad.
49
Política de Seguridad ... Cont.Política de Seguridad ... Cont. Integridad, almacenamiento y recuperación del software, Control
de Cambios (desarrollo, testeo y producción). Estándares de desarrollo, diseño e implementación de web. Seguridad y arquitectura de la red interna-externa y administración
remota, uso del mail. Seguridad de las estaciones de trabajo y del área. Configuración de seguridad del software de base (S.O., DBMS). Políticas y procedimientos para el manejo de backups y
documentación. Logs de seguridad y transaccionales (frecuencia). Medidas de seguridad física. Políticas y procedimientos para el manejo de contingencia
(Continuidad de negocios).
Integridad, almacenamiento y recuperación del software, Control de Cambios (desarrollo, testeo y producción).
Estándares de desarrollo, diseño e implementación de web. Seguridad y arquitectura de la red interna-externa y administración
remota, uso del mail. Seguridad de las estaciones de trabajo y del área. Configuración de seguridad del software de base (S.O., DBMS). Políticas y procedimientos para el manejo de backups y
documentación. Logs de seguridad y transaccionales (frecuencia). Medidas de seguridad física. Políticas y procedimientos para el manejo de contingencia
(Continuidad de negocios).
50
PROTECCION DE LA PROTECCION DE LA INFORMACIONINFORMACION
51
IImplantaciónRiesgo
Políticas
AdministraciónAuditoría
Identificación de propietariosEstablecimiento de requerimientos para activos e información
Selección de tecnologíaEstablecimiento de procesos administrativos
Educación de usuariosEstablecimiento de procedimientos para determinar riesgos
Auto evaluacionesAuditoría internaAuditoría externa
Identificación de activosAsignación de su valorDeterminación de responsabilidades
Para todas las aplicaciones clave de negocio
Integración de la seguridad dentro del proceso tradicional de negocio
Para todos
Los procesosdel
negocio
52
Valor de los Recursos y la Información a Valor de los Recursos y la Información a ProtegerProteger
La seguridad debe ser una de las prioridades de la Dirección de La seguridad debe ser una de las prioridades de la Dirección de Tecnologías de Información. ÉTecnologías de Información. Ésta se divide en cinco etapas:sta se divide en cinco etapas:
1.1. Planeación de las necesidades de seguridad.Planeación de las necesidades de seguridad.
2.2. Análisis de riesgos.Análisis de riesgos.
3.3. Análisis de costo-beneficio.Análisis de costo-beneficio.
4.4. Creación de políticas que reflejen las necesidades.Creación de políticas que reflejen las necesidades.
5.5. Implementación.Implementación.
53
PPrincipios de Importancia Fundamentalrincipios de Importancia Fundamental::
• Concienciación sobre seguridad y políticas debe de ir de arriba Concienciación sobre seguridad y políticas debe de ir de arriba hacia abajo en una organizaciónhacia abajo en una organización..
• La seguridad efectiva quiere decir proteger la información. La seguridad efectiva quiere decir proteger la información. Todos los planes, políticas y procedimientos deben reflejar la Todos los planes, políticas y procedimientos deben reflejar la necesidad de proteger necesidad de proteger sus manifestacionessus manifestaciones
54
Implantación de Medidas de SeguridadImplantación de Medidas de Seguridad
1.1. Planeación de las Necesidades de SeguridadPlaneación de las Necesidades de Seguridad
Se tiene que tomar en cuenta los siguientes tipos de necesidades, y Se tiene que tomar en cuenta los siguientes tipos de necesidades, y prioritizarlas de acuerdo al orden de importancia colocándolas en prioritizarlas de acuerdo al orden de importancia colocándolas en una tabla que refleje el tipo y la prioridad propuestauna tabla que refleje el tipo y la prioridad propuesta ..
Confidencialidad.- Confidencialidad.- Proteger la información para que nadie Proteger la información para que nadie pueda leerla o copiarlapueda leerla o copiarla..
Integridad de Datos.- Integridad de Datos.- Proteger la información (incluyendo Proteger la información (incluyendo programas) para evitar que se borre o altere de cualquier programas) para evitar que se borre o altere de cualquier maneramanera..
55
Disponibilidad.-Disponibilidad.-Proteger los servicios para que no se Proteger los servicios para que no se degraden o dejen de estar disponibles si degraden o dejen de estar disponibles si la consecuencia la consecuencia puede ser tan dañina como perder información que esté puede ser tan dañina como perder información que esté guardada en el sistemaguardada en el sistema..
Consistencia.- Consistencia.- Si los programas o el equipo repentinamente Si los programas o el equipo repentinamente se comportan en forma distinta se comportan en forma distinta en especial después de una en especial después de una actualización o de la eliminación de un error, puede suceder un actualización o de la eliminación de un error, puede suceder un desastredesastre..
Control.- Reglamentar el acceso al sistema.Control.- Reglamentar el acceso al sistema.
Auditoria.- Si lAuditoria.- Si los usuarios autorizados a veces se equivocan, os usuarios autorizados a veces se equivocan, o cometen actos maliciososo cometen actos maliciosos,, es necesario determinar qué se es necesario determinar qué se hizo, quién lo hizo y qué fue afectado. La única forma de lograr hizo, quién lo hizo y qué fue afectado. La única forma de lograr esto es tener un registro inexpugnable de la actividad que esto es tener un registro inexpugnable de la actividad que sucede en el sistemasucede en el sistema..
56
2.2. Análisis de RiesgosAnálisis de Riesgos..
El análisis de riesgos es una parte muy importante del proceso El análisis de riesgos es una parte muy importante del proceso de seguridad informática. No se puede proteger algo si no se de seguridad informática. No se puede proteger algo si no se sabe contra qué hay que protegerlo. sabe contra qué hay que protegerlo.
Se cuenta con tres etapas para reducir los riesgos:Se cuenta con tres etapas para reducir los riesgos:
a.a. Identificación de los activosIdentificación de los activos::
Se debe hacer una lista de todo lo que se quiere protegerSe debe hacer una lista de todo lo que se quiere proteger , , incluidos incluidos intangibles (capacidad de seguir operando, imagen intangibles (capacidad de seguir operando, imagen públicapública)). Para determinar si algo es valioso hay que pensar . Para determinar si algo es valioso hay que pensar en lo que costaría en pérdida de ingresos, tiempo perdido o en lo que costaría en pérdida de ingresos, tiempo perdido o costo de reparación o reemplazo.costo de reparación o reemplazo.
57
b.b. Identificación AmenazasIdentificación Amenazas::
Algunas amenazas serán ambientales, como incendios, Algunas amenazas serán ambientales, como incendios, inundaciones, etc. Otras provienen del personal, alumnos y inundaciones, etc. Otras provienen del personal, alumnos y de extrañosde extraños..
c.c. Cálculo de los riesgos Cálculo de los riesgos ::
Cuando se han identificado los riesgos debe estimarse la Cuando se han identificado los riesgos debe estimarse la probabilidad de que ocurra cada uno de ellos, se recomienda probabilidad de que ocurra cada uno de ellos, se recomienda considerar ocurrencias anualesconsiderar ocurrencias anuales..
58
3.3. Análisis de CAnálisis de Costo-osto-BBeneficioeneficio..
Al terminar el análisis de riesgos es necesario asignar un costo a Al terminar el análisis de riesgos es necesario asignar un costo a cada riesgo, y determinar el costo de eliminar el riesgo. Una cada riesgo, y determinar el costo de eliminar el riesgo. Una manera para calcular las pérdidas se toma el costo de reparar o manera para calcular las pérdidas se toma el costo de reparar o sustituir el objetosustituir el objeto..