estudio de caso: estudio de caso que...
TRANSCRIPT
ESTUDIO DE CASO:
Creación de Metodología para Auditoría de Bases de Datos, basada en
estándares.
Estudio de caso que presenta:
Ing. Sandra Saucedo Mejía
Para obtener el grado de:
Maestra en Tecnologías de Información
Director de Tesis
Dr. Luis Gutiérrez Díaz de León
Guadalajara, Jalisco 01 septiembre de 2012
RESUMEN:
PALABRAS CLAVE
Auditoría para bases de datos, Seguridad en Tecnologías de Información,
Estándares de seguridad de información, Gestión de la información, Seguridad en
bases de datos.
ABSTRACT
KEYWORDS
CONTENIDO
RESUMEN: ..................................................................................................................................... 2
ABSTRACT .................................................................................................................................... 2
INTRODUCCIÓN ........................................................................................................................... 4
MOTIVACION ................................................................................................................................ 4
OBJETIVO GENERAL .................................................................................................................. 4
OBJETIVOS PARTICULARES .................................................................................................... 5
ALCANCE ....................................................................................................................................... 5
CONTRIBUCIONES ...................................................................................................................... 5
ESTRUCTURA .............................................................................................................................. 6
MARCO TEORICO ........................................................................................................................ 6
LEYES INFORMATICAS ............................................................................................................ 18
TRABAJOS ACTUALES SOBRE AUDITORIAS .................................................................... 22
PLANTEAMIENTO DEL PROBLEMA ...................................................................................... 24
JUSTIFICACION .......................................................................................................................... 26
ESTADO DE MADUREZ DE UNA ORGANIZACIÓN ............................................................ 27
REQUISITOS PREVIOS PARA REALIZAR UNA AUDITORIA .......................................... 28
RECURSOS ................................................................................................................................. 29
ACTORES. ................................................................................................................................... 29
ETAPAS DE LA METODOLOGIA ............................................................................................. 29
METODOLOGIA. ......................................................................................................................... 29
LISTA DE ABREVIACIONES Y GLOSARIO DE TERMINOS. ............................................. 29
ESTANDARES UTILIZADOS. ................................................................................................... 29
TABLA COMPRATIVA DE ESTANDARES. ............................................................................ 30
IMPLEMENTACION DE LA METODOLOGÍA. ....................................................................... 51
RESULTADOS. ............................................................................................................................ 51
CONCLUSIONES. ....................................................................................................................... 51
REFERENCIAS ........................................................................................................................... 53
INTRODUCCIÓN
Falta definir
MOTIVACION
Falta definir
OBJETIVO GENERAL
Generar una metodología basada en estándares para la realización de auditoría de
base de datos que permita conocer el estado actual de los datos y con ello mitigar los
riesgos asociados con el manejo inadecuado y fuga de información asegurando la
integridad de la misma. Al proveer al administrador de base de datos de una serie de
procesos a seguir se logra la correcta aplicación de los elementos que integran la
auditoría.
OBJETIVOS PARTICULARES
Obtener información de los accesos y movimientos que se generan en la base de
datos.
Mantener la integridad, confidencialidad y disponibilidad de la información.
Asegurar el correcto entendimiento de los procesos que integran la metodología,
documentar y ejecutar cada proceso de la auditoría para coadyuvar una mejor
administración de la organización.
ALCANCE
Definir cada uno de los procesos que conforman la metodología, ejecutar cada uno y
con base en los resultados obtenidos de la auditoría de la Base de datos,
implementar los cambios con la finalidad de reducir las vulnerabilidades identificadas.
Incorporar la metodología a los procesos ya definidos por la Coordinación de
Operaciones para fortalecer la organización y así cumplir con uno de los objetivos
de su misión, el cual consiste en implantar modelos de gestión junto con las
instancias universitarias.
CONTRIBUCIONES
El trabajo desarrollado contribuye al beneficio de la institución en:
Proveer de una metodología de auditoria de base de datos basado en los mejores
estándares aceptados en Seguridad de Información.
Es adaptable a los procesos con los que cuenta la Institución.
Crea plusvalía en su personal lo cual genera que el trabajo sea más productivo.
ESTRUCTURA
Falta por definir
MARCO TEORICO
Una base de datos es un “almacén” que permite guardar grandes cantidades de
información de forma organizada para luego encontrarla y utilizarla fácilmente. El
término de bases de datos fue escuchado por primera vez en 1963, en un simposio
celebrado en California, USA. Una base de datos se puede definir como un conjunto
de información relacionada que se encuentra agrupada ó estructurada.
Desde el punto de vista informático, la base de datos es un sistema formado por un
conjunto de datos almacenados en discos que permiten el acceso directo a ellos y un
conjunto de programas que manipulen ese conjunto de datos.
Cada base de datos se compone de una o más tablas que guarda un conjunto de
datos. Cada tabla tiene una o más columnas y filas. Las columnas guardan una parte
de la información sobre cada elemento que se quiere guardar en la tabla, cada fila de
la tabla conforma un registro [3].
Al hablar de base de datos como un conjunto de datos almacenados, se desprende
que los datos son el activo más importante de una empresa, por lo que la respuesta
a las amenazas de seguridad debe ser proporcionada y enfrentada con una serie
de procesos que permitan encontrar vulnerabilidades y así proteger la información,
situación que es uno de las más grandes preocupaciones de una organización en la
actualidad [1][12].
Hoy en día el éxito de una organización depende en gran parte de la Gestión de la
Seguridad de la Información cuyo objetivo es proteger la información y garantizar su
correcto uso. Por supuesto, la seguridad de los sistemas informáticos y los
procedimientos juegan un papel muy importante en la consecución de dicho objetivo.
En este contexto resulta indispensable aclarar algunos términos relevantes:
Seguridad de la Información.
Es la gestión de todos los riesgos relativos a la información. Esto implica identificar
tanto usuarios autorizados y no autorizados, así como la alteración, destrucción ó
divulgación de la información [1]. La seguridad de la información consiste en la
protección activa de la información, de tal manera que sólo los usuarios autorizados
puedan almacenarla y consultarla en el momento que lo requieran con oportunos
niveles de integridad. Esto se logra normalmente a través de un Sistema de Gestión
de Seguridad de la Información (SGSI).
Integridad de la Información.
Es la garantía de que la información no ha sido cambiada o modificada excepto por
las personas y/o los proceso autorizados. Cubre cualquier forma de cambio no
autorizado, ya sea de forma deliberada o accidental.
Confidencialidad de la Información.
Es la garantía de que sólo los usuarios y/o sistemas autorizados tienen acceso a la
información.
Un ejemplo podría ser la modificación de los datos almacenados en un ordenador
mediante la acción de un virus informático.
Disponibilidad de la Información.
Por lo general, la disponibilidad se entiende como una cuestión de copia de
seguridad y recuperación, y no como un problema de seguridad; sin embargo, los
ataques de negación de servicio (DoS) intentan bloquear la capacidad de los
usuarios autorizados para acceder y utilizar el sistema cuando lo necesitan. La
prevención de los ataques de DoS es una cuestión de seguridad. Durante estos
ataques, se suele tener acceso no autorizado a las computadoras que se utilizan
para generar solicitudes que inundan el sistema destino.
En ocasiones, la disponibilidad se ve mermada por las propias medidas de
seguridad. Si el firewall es muy restrictivo, los recursos están protegidos, pero
también se puede bloquear el acceso a los usuarios autorizados.
Autenticidad de la Información.
Significa asegurar que tanto las transacciones como la información y las
comunicaciones son genuinas y que las identidades de las personas y los sistemas
que acceden a la información, o participan en las comunicaciones son conocidas y
verificadas.
Un ejemplo es el robo de identidad, en la que una persona usurpa la identidad de
una otra haciéndose pasar por ella, generalmente con fines de lucro fraudulento.
De lo anterior se deduce que una política organizativa definirá las medidas exactas y
las estructuras necesarias para satisfacer las necesidades de la organización y la
política de seguridad será el resultado del análisis de riesgos que se llevará a cabo
como parte de las actividades de aseguramiento de información.
Si todas las copias de una base de datos cifrada permanecen en la posesión
de los usuarios autorizados, pero por alguna razón la base de datos no puede ser
descifrados para su uso autorizado, entonces los datos están disponibles, pero no
en una forma inmediatamente utilizable [1],[7],[15].
La auditoría es el mecanismo disponible que permite el ejercicio de funciones de
control, evaluación o revisión de las operaciones de una empresa de manera
profesional, independiente y confiable.
La auditoría en una base de datos es apropiada para investigar actividades
sospechosas y supervisar los movimientos en la misma. Los registros de auditoría
pueden ser guardados ya sea en el sistema operativo donde reside la base de datos
o en registros propios de ésta. Independientemente de si la auditoría de base de
datos se produce, el servidor de la base de datos siempre auditará el inicio y el
apagado de la instancia de base de datos, y cualquier conexión a la base de datos
realizada con privilegios de administrador [2].
Los procesos de auditoría puede centrarse ya sea en sentencias de algún lenguaje
estructurado como es SQL (por sus siglas en inglés Structured Query Language), o
bien sobre los privilegios u objetos de la base de datos.
Una auditoría interna hace referencia al proceso que es ejecutado por unidades de
auditoría interna, es decir por auditores que tienen la condición de empleados de la
entidad. La auditoría interna es un elemento competente del sistema de control
interno de una entidad y como tal es un medio al servicio de la alta dirección,
destinada a salvaguardar los recursos, verificar la exactitud y veracidad de la
información de las operaciones, estimular la observancia de las políticas previstas y
lograr el cumplimiento de las metas y objetivos programados [7].
Se espera que el auditor de tecnologías de información, que se abreviará como TI
tenga conocimientos suficientes sobre los sistemas de gestión de base de datos
utilizados por el cliente ya que esto le será de utilidad en la identificación de los
riesgos generales de la auditoría.
El auditor de TI deberá asegurarse de que existen planes adecuados que aborden
cada escenario y que éstos cumplen con el propósito de la auditoría. La protección
del acceso a la base de datos de cuentas de usuario es uno de los aspectos más
importantes de la seguridad de los datos en una base de datos. Por desgracia, el
panorama de la seguridad no ha cambiado drásticamente en los últimos años.
Cuando comenzaron a utilizarse los sistemas de gestión de base de datos, en
realidad nadie hizo mucho para asegurar sus bases de datos, había problemas
obvios relacionados con un diseño débil de cuenta de usuario y contraseñas, y
esquemas de asignación de privilegios, aunado al fácil acceso a esas cuentas. Por
ejemplo, era común que una base de datos de soporte de una aplicación tuviera
definido un esquema propietario de un usuario con privilegios de DBA o privilegios
excesivos. [6]
En la sociedad de hoy en día toda empresa competitiva que actúa en un entorno de
TI debe establecer el mejor uso de estándares de TI y prácticas con el fin de
adaptarse a sus requisitos individuales. La creciente adopción de mejores prácticas
de TI ha sido impulsada el establecimiento en el cumplimiento de ciertos requisitos
en la industria de TI con la finalidad de mejorar la gestión de la calidad y la fiabilidad
de la información [8]. Teniendo en cuenta el entorno actual y la multitud de normas
que pueden ser aplicadas a los sistemas de información, es un desafío para cada
organización elegir el conjunto más adecuado de normas que satisfagan sus
necesidades.
Un estándar sirve como tipo, modelo, norma, patrón o referencia [13] y en la
actualidad se cuenta con una extensa familia de estándares y directrices.
ITIL COMO CONJUNTO DE DIRECTRICES DE BUENAS PRÁCTICAS.
ITIL se define como un conjunto de directrices de "mejores prácticas" que apoyan la
planificación, seguimiento y control de servicios de TI. Constituida por una serie de
libros, ITIL define el conjunto de procesos necesarios para la prestación de servicios
de TI y proporciona reglas de buenas prácticas. ITIL tiene vocación de establecer un
vocabulario común para el conjunto de actores de la industria de TI y proponer una
medida estándar de ejecución de los servicios de TI de las organizaciones. También
se ofrece como un marco general para que las organizaciones o sus agentes,
puedan contar con una estructura dentro de la cual sea factible diseñar e
implementar sus propios procedimientos.
ITIL consiste de 5 publicaciones.
1. Estrategia del Servicio (SS)
2. Diseño del Servicio (SD)
3. Transición del Servicio (ST)
4. Operación del Servicio (SO)
5. Continua Mejora del Servicio (CSI)
La estructura de ITIL es en la forma de un ciclo de vida. Es iterativa y
multidimensional. Asegura que las organizaciones están preparadas para ejecutar
sus capacidades en algunas áreas y para aprender y mejorar en otras áreas. Se
espera que el core de ITIL provea estructura, estabilidad y fuerza a las capacidades
de la administración de los servicios aportando principios duraderos, métodos y
herramientas. Esto sirve para proteger las inversiones y para proveer las bases
necesarias para las mediciones, para el aprendizaje y para la mejora.
ITIL puede ser adaptado y aplicado en cualquier circunstancia ya sea un proveedor,
cliente o aplicación, dependiendo de diversos factores tales como el tamaño, cultura,
los sistemas de gestión existentes, la estructura organizativa y la naturaleza del
negocio. ITIL no es prescriptivo, no una hay rigidez en su aplicación que indique que
las pruebas de cumplimiento son apropiadas. Por supuesto, los proveedores de
servicios que utilizan ITIL no están obligados a buscar la certificación ISO, debido a
que ITIL como marco de referencia es suficiente para permitir el diseño de una
estructura con políticas y procesos para gestionar los servicios de TI con eficacia.
[5],[9],[10].
ESTANDARES INTERNACIONALES
Norma ISO / IEC 20000
Es el primer estándar internacional exclusivo para el área de Gestión de Servicios de
TI, en él, se promueve la adopción de un enfoque de procesos integrados orientados
a entregar efectivamente servicios gestionados que satisfagan los requerimientos de
los negocios y sus clientes.
Publicado por ISO (International Organization for Standardization) y el IEC
(International Electrotechnical Commission), ISO/IEC 20000 permite a las
organizaciones probar su capacidad para entregar servicios gestionados, medir sus
niveles de servicio y evaluar su desempeño, así mismo, el estándar puede utilizarse
como base para la realización de auditorías que pueden conducir a la certificación
formal de la organización proveedora de servicios de TI. Ayudará a medir el nivel de
servicio y evaluar su desempeño, reemplaza a BS15000.
ISO/IEC 20000 utiliza el enfoque basado en procesos de otras normas de sistemas
de gestión, tales como 27001:2005, ISO 9001:2008 e ISO 14001:2004
Norma ISO / IEC 27000
La información es un activo vital para el éxito y la continuidad en el mercado de
cualquier organización. El aseguramiento de dicha información y de los sistemas que
la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar
un sistema que aborde esta tarea de una forma metódica, documentada y basada en
unos objetivos claros de seguridad y una evaluación de los riesgos a los que está
sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo
por ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad
de la información utilizable por cualquier tipo de organización, pública o privada,
grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO 27000
y se indica cómo puede una organización implantar un sistema de gestión de
seguridad de la información (SGSI) basado en ISO 27001.
Norma ISO / IEC 27001:2005
ISO/IEC 27001:2005 es un estándar basado en los riesgos de seguridad de
información, lo que significa que las organizaciones deben contar con un proceso de
gestión de riesgos en el lugar. ISO/IEC 27001 define formalmente los requisitos
obligatorios para un Sistema de Gestión de Seguridad (SGSI). ISO/IEC 27001
incorpora un resumen de los controles de la norma ISO/IEC 27002 bajo su anexo A.
En la práctica, las organizaciones que adoptan la norma ISO/IEC 27001 también
sustancialmente adoptan la norma ISO/IEC 27002.
El concepto clave de un SGSI es para una organización del diseño, implantación,
mantenimiento de un conjunto de procesos para gestionar eficientemente la
accesibilidad de la información, buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de información minimizando a la vez los riesgos de
seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un
largo tiempo adaptándose a los cambios internos de la organización así como los
externos del entorno.
La ISO/IEC 27001 por lo tanto incorpora el típico "Plan-Do-Check-Act" (PDCA) que
significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora
continua:
Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de
riesgos de seguridad de la información y la selección de controles adecuados.
Do (hacer): es una fase que envuelve la implantación y operación de los
controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el
desempeño (eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para
llevar de vuelta el SGSI a máximo rendimiento.
La mejor definición de SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y
relaciona los estándares publicados por la International Organization for
Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO
también define normas estandarizadas de distintos SGSI.
Norma ISO / IEC 27002:2005
ISO/IEC 27002:2005 incluye la norma ISO/IEC 17799:2005 e ISO/IEC 17799:2005
Su contenido técnico es idéntica a la de la norma ISO/IEC 17799:2005. ISO/IEC
17799:2005 / Cor.1: 2007 cambia el número de referencia de la norma 17799 a
27002. ISO/IEC 27002:2005 es una norma internacionalmente aceptada de buenas
prácticas para la seguridad de la información. ISO/IEC 27002, es relevante para
todos los tipos de organizaciones, la norma se refiere explícitamente a seguridad de
la información, es decir, la seguridad de los activos de información.
ISO/IEC 27002:2005 establece directrices y principios generales para iniciar,
implementar, mantener y mejorar la gestión de seguridad de la información en una
organización. Los objetivos señalados proporcionar una orientación general sobre las
metas comúnmente aceptadas de gestión de seguridad de la información. ISO / IEC
27002:2005 contiene las mejores prácticas de objetivos de control y controles en las
siguientes áreas de gestión de la información de seguridad:
Política de seguridad
Organización de la seguridad de la información
Gestión de activos
Recursos de la seguridad humana
Seguridad física y ambiental
Comunicaciones y gestión de las operaciones
Control de acceso
Adquisición de sistemas de información, desarrollo y mantenimiento
Seguridad de la información de gestión de incidentes
Negocio de gestión de continuidad
Cumplimiento
Los objetivos de control y controles en la norma ISO/IEC 27002:2005 están
destinados a ser implementados para cumplir con los requisitos señalados por la
evaluación del riesgo. ISO/IEC 27002:2005 pretende ser una base común y
orientación práctica para la elaboración de normas organizativas de seguridad y
prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza
en las actividades interinstitucionales.
RELACION DE LA NORMA ISO/IEC 27001 CON LA NORMA ISO/IEC 27002.
ISO/IEC 27001 define formalmente los requisitos obligatorios para un Sistema de
Gestión de Seguridad (SGSI). Se utiliza la norma ISO/IEC 27002 para indicar
adecuados controles de seguridad de la información dentro del SGSI, pero como
ISO/IEC 27002 es más que un código de prácticas / directrices en lugar de una
norma de certificación, las organizaciones son libres de seleccionar e implementar
otros controles, o incluso adoptar alternativas completas de controles de seguridad
de la información como mejor les parezca. [11][25].
CMMI
CMMI se compone de cinco niveles de madurez, cada nivel de madurez representan
el aumento de las capacidades del proceso, lo que resulta en una mayor probabilidad
de que los objetivos de desarrollo o de mantenimiento se cumplan
satisfactoriamente. Cada nivel de madurez consiste en una serie de áreas de
proceso (AP). Cada área de proceso consta de un pequeño conjunto de "objetivos"
seguido por una colección de prácticas que se debe realizar con el fin de alcanzar las
metas. Un proceso cumple con un nivel de madurez determinado si los objetivos y
prácticas de todos las AP de ese nivel están satisfechos [4].
COBIT
Es un marco de gobierno de las tecnologías de información que proporciona una
serie de herramientas para que la gerencia pueda conectar los requerimientos de
control con los aspectos técnicos y los riesgos del negocio, permite el desarrollo de
las políticas y buenas prácticas para el control de las tecnologías en toda la
organización.
COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
incrementar su valor a través de las tecnologías, y permite su alineamiento con los
objetivos del negocio.
Además, COBIT proporciona las mejores prácticas y herramientas para el monitoreo
y mapeo de procesos de TI, mientras que ITIL tiene como objetivo organizar servicios
de TI a nivel de gestión e ISO 27002 proporciona directrices para la implementación
de un marco de seguridad de información estandarizada [11].
COBIT se basa en los marcos establecidos, tales como, ISO 9000, ITIL e ISO 17799.
Sin embargo no incluye los procesos y tareas, ya que, si bien está orientada a
procesos de Tecnologías de Información, es un marco de control y gestión en lugar
de normas de procedimiento. Dado que COBIT se centra en lo que la empresa tiene
que hacer, y no en cómo debe hacerlo, su objetivo es la gestión de negocios de alto
nivel, la alta gerencia y los auditores de TI.
COBIT 5 proporciona un marco integral que ayuda a las Organizaciones a lograr su
metas y entregar valor mediante un gobierno y una administración efectivos de la TI,
COBIT es un producto de ISACA (Information Systems Audit and Control
Association) [23] para impulsar la próxima generación de guías sobre el gobierno y la
administración de la información y los activos tecnológicos de las organizaciones,
construido sobre más de 15 años de aplicación práctica, ISACA desarrolló COBIT 5
para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias
sobre técnicas de gobierno y administración relacionadas con la TI [14].
LEYES INFORMATICAS
Resulta de suma importancia contextualizar el marco jurídico actual en el que se
desarrolla la función de la auditoría Informática, y como punto de partida daremos
una definición del concepto de “Auditoría Informática”.
Auditoría Informática es aquella cuyo propósito es evaluar la función de la tecnología
de información y su aportación al cumplimiento de los objetivos organizacionales, con
la finalidad de garantizar la integridad de la información y la continuidad de la
organización [22].
En México como en muchos países en los que hoy en día la tecnología de
información constituye un medio indispensable para el desempeño de muchas de sus
actividades, tales como la comercial, económica, científica, cultural, etc., se incorpora
el término “Derecho Informático” a la actividad legislativa, aunque existen diversos
puntos de vista respecto a este término, entre algunas de las definiciones los
abogados han aportado se encuentra la siguiente:
Julio Téllez ha afirmado que “es el conjunto de leyes, normas y principios aplicables
a los hechos y actos derivados de la informática” [21].
Es importante diferenciar el derecho informático del concepto “Jurídica informática”,
la cual ha sido definida por el Dr. Hector Fix Fierro como “el conjunto de estudios e
instrumentos derivados de la aplicación de la Informática al Derecho, o más
precisamente, a los procesos de creación, aplicación y conocimiento del Derecho"
[17].
En Jalisco existe el ITEI que es el Instituto de Transparencia e Información Pública
del Estado de Jalisco (ITEI) es un organismo público autónomo, cuya función
principal es garantizar el acceso de la sociedad a la información que se genera con
recursos públicos. Es decir, el ITEI tiene la labor de vigilar que toda organización
pública o privada que reciba o administre recursos públicos estatales o municipales,
facilite su información a la sociedad.
La Ley de Información Pública del Estado de Jalisco y sus Municipios denomina a
todas estas organizaciones como sujetos obligados, pues son las que están
obligadas a cumplir con dicha Ley. En este sentido, su principal obligación es
publicitar toda su información fundamental a través de los medios que tenga a su
alcance (páginas Web, gacetas, folletos, etc.).
Además, los sujetos obligados deben establecer unidades de transparencia que se
encarguen de dar trámite a las solicitudes de información. Ahora bien, cuando algún
sujeto obligado no cumple con su deber en este sentido, el ITEI tiene la facultad de
intervenir para dar respuesta satisfactoria al ciudadano.
El Instituto de Transparencia también tiene la tarea de proteger la información
personal de los ciudadanos que se encuentra en manos de los sujetos obligados.
Debido a que se trata de datos personales, la revelación de esta información atenta
contra la privacidad de las personas, y es por ello que se cataloga como información
confidencial. El ITEI debe proteger que no se vulnere la privacidad de los individuos
de la sociedad [26].
Estados Unidos: cuenta con la mejor base de datos jurídica a nivel mundial
(LexisNexis), y existen proyectos desde hace años sobre el uso de la inteligencia
artificial aplicada al derecho. Asimismo las demandas y juicios judiciales, debido a los
temas propios derivados del derecho informático, son en realidad incontables en este
país.
Sarbanes-Oxley Act (SOX) requiere que las compañías que cotizan en bolsa en
Estados Unidos refuercen y documenten los controles internos para impedir que
nadie pueda cometer actos fraudulentos que puedan comprometer la posición
financiera de una organización o la precisión de sus datos financieros. El director
ejecutivo y el director financiero deben dar fe de la competencia de los controles
internos y de la precisión del informe financiero. Estos directores están sujetos a
multas y encarcelamiento por informes fraudulentos. Los requisitos de SOX incluyen,
entre otros, proporcionar la información que se utiliza para generar los informes y
proporcionar la documentación sobre los controles internos utilizados para garantizar
la integridad de la información financiera.
Otras leyes de EE.UU:
Health Information Portability and Accountability Act (HIPAA) está destinada a
proteger la información sanitaria identificable personalmente (PII) frente a su
publicación o uso incorrecto. Las entidades que retienen esa información deben
proporcionar pistas de auditoría de todas las personas que accedan a estos datos.
Family Educational Rights and Privacy Act (FERPA) aborda la información sanitaria e
identificable personalmente que conservan las escuelas.
California Security Breach Notification Law requiere que una organización que posee
información variada identificable personalmente (PII) (por ejemplo, tarjeta de crédito,
permiso de conducir y números de identificación gubernamentales) proteja esta
información. Si la información se ve comprometida, la organización deberá notificarlo
al residente en California cuando existan motivos para creer que una persona no
autorizada ha obtenido dicha información personal no cifrada. Hay dos leyes (CA-SB-
1386 y CA-AB-1950) que se aplican a las organizaciones que poseen PII.
Federal Information Security Management Act (FISMA) crea estándares y guías de
seguridad mediante documentos del Federal Information Processing Standard (FIPS)
que gestiona el National Institute of Standards and Technology (NIST). Estos
estándares se aplican a organizaciones que procesan información para el gobierno
de Estados Unidos.
España: Se dice que en el caso de España, sí se puede hablar de una verdadera
autonomía en el derecho informático y que aunque esta materia como rama jurídica
apenas nace y se encuentra en desarrollo, se está perfilando actualmente como una
nueva rama jurídica autónoma. Asimismo, España cuenta con estudios a nivel
posgrado especializados en derecho informático. Francia es otro caso situado en
esta tendencia.
España: Se dice que en el caso de España, sí se puede hablar de una verdadera
autonomía en el derecho informático y que aunque esta materia como rama jurídica
apenas nace y se encuentra en desarrollo, se está perfilando actualmente como una
nueva rama jurídica autónoma. Asimismo, España cuenta con estudios a nivel
posgrado especializados en derecho informático. Francia es otro caso situado en
esta tendencia.
Italia: Es otro caso de amplio desarrollo en legislación sobre derecho informático;
considerado por algunos como el primer país que dio una solución integral al
problema relativo a la autoridad de certificación, sobre la firma digital asimétrica. Se
llevan a cabo cada año, congresos internacionales sobre inteligencia artificial y
derecho. Es necesario destacar que la Universidad de Pisa (Universitá degli Studi di
Pisa), está constituida como la coordinadora de la Red Chasqui [18],[19].
Japón: Potencia de desarrollo informático en el mundo, situado incluso en la quinta
generación, que implica la comunicación con la computadora en lenguaje natural y
utilización de sistemas expertos. Con relación a la legislación informática, Japón
contempla los siguientes aspectos en los sistemas jurídicos, al igual que algunos
otros países que se listan a continuación:
Daño de equipo de cómputo y uso ilegal de equipo de cómputo (Japón).
Abuso fraudulento en el procesamiento de información (Austria, Japón).
Lucrar utilizando inadecuadamente bases de datos (Japón, Nueva Zelanda).
Sabotear negocios ajenos (Japón).
Piratería y adquisición ilegal de programas (Francia, Alemania, Japón, Escocia,
Gran Bretaña), que es el caso de México Ley Federal de derechos de Autor
(LFDA).
Fraude o robo de información confidencial y programas (Francia, Gran Bretaña,
Austria, Suiza, Japón, Estados Unidos), expresada en la LFDA en México.
Alteración de programas (Japón, Gran Bretaña), expresada en la LFDA en México
[20].
TRABAJOS ACTUALES SOBRE AUDITORIAS
ISACA con más de 86.000 miembros en más de 160 países, ISACA es un proveedor
líder global de conocimiento, certificaciones, comunidad, apoyo y educación en
seguridad de sistemas de información y seguridad, gobierno empresarial de TI
relacionados con el riesgo y cumplimiento.
ISACA ha diseñado y creado Características de Seguridad, Auditoría y Control de
Oracle ® Database, 3 ª edición (Serie Técnica de Gestión y Riesgo) (la "Obra"),
principalmente como un recurso educativo para los profesionales de control.
Se espera adaptar este documento para los profesionales de auditoría y
aseguramiento para el medio ambiente en el que se realiza un proceso de
verificación. Este documento es para ser utilizado como una herramienta crítica y
punto de partida. Puede ser modificado por el aseguramiento y auditoría profesional,
no se pretende que sea una lista de verificación o cuestionario [25].
También existe un requisito de Seguridad de Bases de Datos definido en base a la
norma ISO / IEC 15408 generado por japoneses.
ISO / IEC 15408 define los requisitos funcionales de seguridad que deben aplicarse
para validar un sistema de información. La propuesta es un requisito de seguridad
de base de datos de gestión basado en la norma internacional ISO / IEC 15408,
llamada ISEDS (Seguridad de la Información Sistema de ingeniería de base de
datos). "Los usuarios de ISEDS pueden recoger, gestionar y reutilizar los requisitos
de seguridad. Así, ISEDS puede ayudar en el diseño y desarrollo seguro de sistemas
de información, que satisfacen los criterios de seguridad de la norma ISO / IEC
15408 “[16].
Una metodología es un camino que te lleva más allá del conocimiento, proviene del
griego que significa o hace referencia al plan de investigación que permite cumplir
ciertos objetivos en el marco de una ciencia. [24].
La metodología es una pieza esencial de toda investigación. Cuando se habla de
metodología hablamos de un método científico que es un procedimiento para
descubrir las condiciones en que se presentan sucesos específicos, caracterizado
por ser tentativo, verificable, de razonamiento riguroso y observación empírica. El
método científico no es otra cosa que la aplicación de la lógica a las realidades o
hechos observados.
Una de las ventajas más interesantes de crear una metodología basada en un marco
estándar es que se publican cantidades de contenido siguiendo las convenciones
que el marco establece (desde terminología hasta estructura de procesos). Este
contenido puede incluir conceptos interesantes, ideas y mejores prácticas que se
podría incorporar en la metodología.
Se entiende por método un orden o procedimientos a partir de la lógica del
pensamiento científico que surge de la teoría. Teoría y método van siempre juntos,
mientras que la metodología es parte instrumental de la investigación, y como tal
lleva al objeto de investigación.
PLANTEAMIENTO DEL PROBLEMA
El tema del presente trabajo es la definición de una metodología de auditoría de
bases de datos fundamentada en los estándares de seguridad de información. La
metodología pretende mejorar la comunicación de la organización tanto externa
como interna y, con ello generar procesos y políticas concretas que permita delimitar
roles y alcanzar objetivos o tareas específicas que requieren habilidades
determinadas.
Para el desarrollo de la misma se utilizará una base de datos que esta a cargo de la
Unidad de Administración de Aplicaciones y Bases de Datos (UAAYBD) dependiente
de la Coordinación de Operación de Servicios (COS) de la Coordinación General de
Tecnologías de Información (CGTI) de la Universidad de Guadalajara.
La COS como responsable de las tecnologías de información tiene entre sus
atribuciones la administración de las bases de datos con el objeto de garantizar su
disponibilidad, seguridad y buen desempeño, misión que está a cargo de la UAAYBD
quien debe garantizar la seguridad de la información, las aplicaciones y las bases de
datos en su integridad, disponibilidad y confidencialidad mediante la implementación
de políticas y normas que regulen el acceso de los usuarios de la red universitaria a
dichas bases de datos.
Por otro lado, la Universidad de Guadalajara está obligada a observar la Ley de
Información Pública del Estado de Jalisco y sus Municipios (LIPEJM), que en su
artículo 24 apartado XV señala como una obligación: “Proteger la información pública
en su poder contra acceso, utilización, sustracción, modificación, destrucción,
eliminación no autorizados” y en el apartado XVII del mismo artículo la obliga a
“Utilizar adecuada y responsablemente la información pública reservada y
confidencial”.
Un proceso de auditoría de base de datos permite identificar y corregir las
vulnerabilidades y los problemas u omisiones que se tengan en la configuración de
las instancias de base de datos mediante el desarrollo e implementación de políticas
efectivas que estén bien afinadas y adaptadas a las necesidades propias del
ambiente de bases de datos de la institución, permite también establecer un mejor
manejo en la asignación y mantenimiento de privilegios de acceso a los datos,
definiendo distintos grados o niveles de control, al tiempo que posibilita la obtención
de evidencia de la actividad que los usuarios privilegiados tienen en las bases de
datos y permite la generación de alertas que informen sobre comportamientos
inusuales o sospechoso por parte de los usuarios, de tal manera, la información que
se obtiene del proceso de auditoría es útil para definir procedimientos de acción, ya
sea automatizados o manuales, a ejecutar ante un escenario de violación de las
políticas de seguridad vigentes en al ambiente de las bases de datos.
El problema fundamental que da origen a este trabajo de tesis es que en la
actualidad la UAAYBD no cuenta con un proceso para realizar la auditoría de las
bases de datos que están a su cargo, si bien se llevan a cabo tareas en este sentido,
por lo general dichas acciones son de orden reactivo y obedecen a eventos
específicos reportados por los mismos usuarios de la red universitaria y no como
parte de un plan preventivo que se ejecute de manera periódica. En este contexto, la
creación de una metodología para auditoría de base de datos representa una
oportunidad para incorporar esta metodología a los procesos existentes referente a
seguridad de la información lo cual es una de las actividades de la UAAYBD
tendientes a cumplir la misión que tiene encomendada, y para coadyuvar al
cumplimiento de las disposiciones de la LIPEJM (Ley de Información Pública del
Estado de Jalisco y sus Municipios), y en consecuencia resulta ser el propósito
fundamental de la tesis.
Las condiciones en la que se conceptualizará la metodología para la elaboración del
proceso de auditoría están enfocadas en los estándares de seguridad actuales.
La COS basa sus procesos en ITIL por lo que el crear e implementar una
metodología que se adapte a las necesidades de la UAAYBD resultará más fácil ya
que el personal cuenta con el conocimiento acerca de las buenas prácticas de ITIL.
¿Por qué utilizo una Metodología?
Porque se necesita una manera sistemática, controlada y crítica para llevarla a cabo.
Porque es necesario transformar los planteamientos iniciales en forma más precisa y
estructura.
Porque es necesario seleccionar la perspectiva de la investigación y asimismo
conocer los antecedentes de estudios anteriores.
JUSTIFICACION
Al crear una metodología basada en estándares se definen requisitos obligatorios
para la auditoría, se puntualiza el como lograr la implementación de los estándares,
el utilizar un buen juicio profesional en su aplicación y justificar cualquier desviación
de la misma. Proporcionar ejemplos de procedimientos que podría seguir un auditor,
esto es proveer de información con respecto a como cumplir con los estándares de
auditoría de información.
Con la auditoría de la base de datos se pretende mantener la seguridad e integridad
de los datos, durante su proceso se revisarán usuarios y esquemas, estructuras de
tablas, accesos, privilegios, rendimiento, almacenamiento lógico y físico, estructura
lógica y física, archivos de respaldo, con la finalidad de contribuir a la prevención de
accesos intencionados o accidentales por parte de usuarios no autorizados, así como
a la investigación de actividades sospechosas.
La auditoria de TI enfocada a las operaciones de SQL, permite entre otras cosas,
evitar la liberación inapropiada de información, controlar el uso excesivo de recursos
de CPU por parte de las sentencias SQL, garantizar el uso eficiente de las relaciones
entre objetos de la base de datos a través de la afinación de las consultas, conocer
las debilidades esto es, detectar como personas ajenas a la organización están
accediendo a la información.
ESTADO DE MADUREZ DE UNA ORGANIZACIÓN
El modelo utilizado por COBIT para conocer el estado de madurez de una
Organización es adaptado y se enfoca en encontrar el nivel que tiene la
organización con respecto a la práctica de auditoría de base de datos.
1. NO EXISTENTE. No existe un proceso definido para realizar una auditoría de
base de datos.
2. INICIAL: Existe cierto reconocimiento de la necesidad de realizar auditorías. El
enfoque de los requisitos de riesgo y el control son desorganizados, sin
comunicación o monitoreo. Las deficiencias no se identifican. Los empleados
no son conscientes de sus responsabilidades.
3. REPETIBLE PERO INTUITIVO: El conocimiento sobre realizar auditorías es
latente, pero no están documentados. Su funcionamiento depende del
conocimiento y la motivación de los individuos. La efectividad no está
suficientemente evaluada. Muchas debilidades existen y no se tratan
adecuadamente, el impacto puede ser grave.
4. DEFINIDO: El proceso existe y esta documentado adecuadamente. Sin
embargo, el proceso de evaluación no está documentado. Los empleados son
conscientes de sus responsabilidades en materia de la administración de la
información.
5. ADMINISTRADO Y MEDIBLE: Hay una evaluación formal y documentada
sobre la auditoría y sobre los riesgos. El proceso de auditoría es revisado y
documentado, pero no todos los problemas se identifican de forma rutinaria.
6. OPTIMIZADO: Existe una evaluación formal y documentada sobre la auditoría
de la información, está el monitoreo en tiempo real sobre la actividad de la
base de datos. Evaluaciones continúas sobre los privilegios y usuarios que
existe en la base de datos.
REQUISITOS PREVIOS PARA REALIZAR UNA AUDITORIA
Conocer el estado de madurez de la Organización.
Haber concientizado a los trabajadores de su responsabilidad en el área que
desarrollan
Haber documentado sus actividades.
Haber definido las responsabilidades de la información para que estas sean claras.
Haber detectado los puntos a auditar.
RECURSOS
La Organización debe contar con personal calificado en el área de Base de datos.
Definición de procesos establecidos
Definición de los roles involucrados en la Organización.
Cultura, ética y compromiso con las actividades a realizar.
ACTORES.
No definido.
ETAPAS DE LA METODOLOGIA
Pretendo adecuar el modelo de ISMS, ITIL,RMP y desarrollar cada punto.
METODOLOGIA.
Aquí se define el procedimiento de la metodología.
LISTA DE ABREVIACIONES Y GLOSARIO DE TERMINOS.
ESTANDARES UTILIZADOS.
ISO/IEC 27001:2005
ISO/IEC 27002:2005
COBIT
ITIL como un conjunto de directrices y buenas prácticas.
TABLA COMPRATIVA DE ESTANDARES.
ISO/IEC 27001 / 27002 ITIL COBIT
4.1 [ISMS] Requerimientos
generales
(SD) 4.6.4.1 Marco de
seguridad
4.2 Establecimiento y
gestión del SGSI
4.2.1 Establecer el SGSI
4.2.2 Implementar y operar
el SGSI
(SD) 4.6.4.3 Seguridad
Gestión de Sistemas de
Información
4.2.3 Monitorear y revisar
el SGSI
4.2.4 Mantener y mejorar
el SGSI
4.3. Documentación de
requerimientos
4.3.1 General 4.3.2 Control
de documentos
4.3.3 Control de archivos
(SD) 4.6.6.2 ISM salidas
(SD) 4.6.8 ISM
Administración de la
seguridad de la
información
5 Gestión de la
responsabilidad
5.1 Compromiso de la
dirección
5.2 Gestión de los
recursos
5.2.1 Disposición de los
recursos
5.2.2 Formación de
conciencia y competencia
6 Auditorías internas SGSI
7 Revisión por parte de la
dirección del SGSI
7.1 General
7.2 Revisión de entradas
7.3 Revisión de salidas
8 Mejora del SGSI
8.1 Mejora continua
8.2 Acciones correctivas
8.3 Acciones preventivas
0.1 Seguridad de la
Información
(SD) 4.6.1 Propósito/
Meta/ Objetivos
0.2 Necesidad de la
información
(SD) 4.6.3 Valor del
negocio
0.3 Establecer
requerimientos de
seguridad
(SD) 4.6.6.1 Entradas
0.4 Evaluación de riesgos
de seguridad
(SD) 4.6.4.3 Seguridad
Gestión de Sistemas de
Información
0.5 Selección de controles (SD) 4.6.5.1 Controles de
seguridad
0.6 Seguridad de la
información como punto de
(SD) 4.6.5 Actividad de los
procesos, métodos y
partida técnicas
0.7 Factores críticos de
éxito
(SD) 4.6.9 Retos, factores
críticos de éxito y riesgos
0.8 Desarrollando tus
propias directrices
A.1 Alcance (SD) 4.6.2 Alcance
A.4 Evaluación de riesgos
y tratamiento
A.4.1 Evaluación de
riesgos de seguridad
A.4.2 Tratamiento de
riesgos de seguridad
(SD) 4.5.5 ITSCM
actividades de los
métodos y técnicas de
proceso
(SO) 8.3 Evaluación y
administración en la
operación de servicios
A.5 Políticas de seguridad
A.5.1 Información de
políticas de seguridad
(SD) 3.5 Diseño de
actividades
(SD) 4.6.4.2 La
información de políticas de
seguridad
(ME2.1) 1.3 Definir la
seguridad
(ME2.1) 1.3.3 Determinar
si existen lagunas en la
política corporativa.
A.6.1 Organización interna
(De la seguridad de la
información)
(SD) 4.6.4.1 Marco de
seguridad
(ME2.1) 1.3 Definir la
seguridad.
A.6.1.1 Compromiso de la
dirección de seguridad de
(SD) 4.6.9 Retos, factores
críticos de éxito y riesgos
la información
A.6.1.2 Coordinación de la
seguridad de la
información
A.6.1.3 Asignación de
responsabilidades
seguridad de la
información
A.6.1.4 Proceso de
autorización de las
instalaciones de
procesamiento de
información
A.6.1.5 Acuerdos de
confidencialidad
A.6.1.6 Contacto con
autoridades
A.6.1.7 Contacto con los
grupos de interés
A.6.1.8 Revisión
independiente de
seguridad de la
información
(SD) 4.6.4.3 Seguridad
Gestión de Sistemas de
Información
A.6.2 Partes externas (SD) 4.7.5.1 ISM
Problemas en la gestión
de proveedores
A.6.2.1 Identificación de
riesgos relacionados con
las partes externas
(SD) 4.6.6.2 ISM salidas
A.6.2.2 Abordar la
seguridad al tratar con los
clientes
A.6.2.3 Seguridad frente a
contratos de terceros
(SD) Anexo F: Manejo de
acuerdos de nivel de
servicio (SLA) y acuerdos
de operación de servicios
(OLA)
A.7 Administración de
activos
(ST) 4.3 Activos del
Servicio y Administración
de la Configuración
A.7.1 Responsabilidad de
los activos
(ST) 4.3 Activos del
Servicio y Administración
de la Configuración
A.7.1.1 Inventario de
activos
(ST) 4.3.4.3 Sistema de
Administración de
Configuraciones (ST)
Anexo A Descripción de
tipo de activos
A.7.1.2 Propiedad de los
activos
(ST) 4.3.5.3 Identificar la
configuración
A.7.1.3 Uso aceptable de
los activos
(ST) 4.3.4.1 Activos del
servicio y Administración
de la configuración de
políticas.
A.7.2 Clasificación de la
Información
(SD) 4.6.4.3 Seguridad
Gestión de Sistemas de
Información
A.8 Seguridad de los
Recursos Humanos
A.8.1 Antes del empleo
A.8.1.1 Roles y
responsabilidades 8.1.2
Selección
A.8.1.3 Términos y
condiciones del empleado
(SO) 5.13.4 Selección e
investigación
A.8.2 Empleados activos
A.8.2.1 8.2.1 Manejo de
responsabilidades
A.8.2.2 Conocimiento
sobre la seguridad de la
información, educación y
formación
A.8.2.3 Proceso
disciplinario
(SO) 5.13.5 Formación y
conocimiento
A.8.3 Termino del ciclo de
un empleado
A.8.3.1 Termino de
responsabilidades
(PO7.8, DS5.4)
4.1.8 Obtener una lista de
los empleados despedidos
de RH Comparar la lista
empleado despedido a la
lista de usuarios en el
sistema para garantizar
que las cuentas se
terminan en una manera
oportuna.
A.8.3.2 Retorno de activos
A.8.3.3 Eliminación de los
derechos de acceso
A.9 Seguridad física y del
entorno
A.9.1 Áreas seguras.
Objetivo: Impedir el acceso
físico no autorizado, daño
e interferencia a las
instalaciones de la
organización y
información.
A.9.1.2 Controles físicos
de entrada
A.9.1.3 Seguridad en
oficinas e instalaciones
(SO) Anexo F: Control de
acceso físico
A.9.1.5 Trabajar en áreas
seguras
(SO) 5.13.3 Control de
operación de servicios
A.9.1.6 Suministro de
acceso público y áreas de
carga
(SO) 5.13.3 Control de
operación de servicios
E7 Envío y recepción
A.9.2 Seguridad en equipo
A.9.2.1 Equipo de
localización y protección
(SO) 5.12 Instalaciones y
Centros de datos
A.9.2.5 Seguridad de los
equipos fuera de las
instalaciones
(SD) 4.6.4.3 Seguridad
Gestión de Sistemas de
Información
A.10 Administración de las
comunicaciones y
operaciones.
A.10.1 Los procedimientos
operacionales y las
responsabilidades.
Objetivo: garantizar el
funcionamiento correcto y
seguro de las instalaciones
de procesamiento de
información.
(SO) 5.13 Administración
de la seguridad de la
información y operación
del servicio
(SO) 5.2.1 Consola de
administración
A.10.1.1 Realizar la
documentación de los
procedimientos
(SO) Documentación
A.10.1.2 Gestión del
cambio.
(ST) Administración de
cambios
(ME2.7) 1.5 Definir el
proceso de cambio.
A.10.1.4 Separación de los
roles de desarrollo,
pruebas y operaciones.
(ST) 4.5.4.9 (Validación de
servicio y pruebas)
Consideraciones de
diseño
A.10.3 Planificación de
sistemas y aceptación
A.10.3.1 Administración de
la capacidad
(SD) Administración de la
capacidad
A.10.3.2 Aceptación de
sistemas
(ST) 4.4.6 Desarrollo de
triggers, entrada y salida
de procesos
A.10.4 Protección contra
código malicioso. Objetivo:
Proteger la integridad del
software y de la
información
(SD) 4.6.4.3 Seguridad
Gestión de Sistemas de
Información
A.10.4.1 Controles contra
código malicioso.
A.10.5 Respaldo. Objetivo:
Mantener la integridad y
disponibilidad de las
instalaciones de
procesamiento de
información
(SO) 5.2.3 Respaldo y
recuperación
(DS1.3, DS4.2, DS11.2,
DS11.3, DS11.5)
5.1 Una estrategia de
copia de seguridad y
recuperación.
A.10.5.1 Realizar copias
de seguridad de la
información.
(SD) Anexo K: Pasos para
un plan recuperación.
10.6 Administración de la
seguridad de la red
10.6.1 Controles de red
10.6.2 Seguridad y
servicios de red
(SO) 5.5 Administración
de la red
(PO2, AI2.4, AI2.5, AI3.2,
DS5.9, DS5.10, DS9.3,
ME1.1, ME1.3, ME2.6)
8.1 Los controles están en
el lugar para proteger la
información de base de
datos comunicados por
una red.
(PO2, DS5.10,
ME2.6)8.1.1 Revisar un
diagrama de la
arquitectura de red que
muestra la relación lógica
entre la base de datos y
otros sistemas y redes
dentro de la empresa.
Asegúrese de que la base
de datos está protegida
por un firewall de un
tercero o los puntos de
acceso a Internet.
A.10.8 Intercambio de
información. Objetivo:
Mantener la seguridad de
la información y el software
intercambiados dentro de
una organización y con
cualquier
entidad externa.
A.10.8.1 Intercambio de
información
políticas y procedimientos
A.10.8.2 Establecer
acuerdos de intercambio
de información entre la
organización y la parte
externa.
A.10.8.3 Medios físicos.
Los medios que contienen
información deben estar
protegidos contra acceso
no autorizado, mal uso o
corrupción durante el
transporte.
A.10.10 Monitoreo.
Objetivo: detectar
actividades no autorizadas
de procesamiento de
información.
(SO) 5.13 Administración
de la seguridad de la
información y operación
del servicio
(ME2.1) 1.1 Definir
Auditoría/Asegurar
Objetivos.
A.10.10.1 Registro de
auditoría.
1.1.1 Revise los objetivos
de la auditoría / seguridad
en la introducción de este
programa de auditoría /
seguridad.
1.1.2 Modificar los
objetivos de la auditoría /
seguridad para alinearse
con el universo de
auditoría / aseguramiento
(ME2.1) 1.7 Definición de
auditoría / aseguramiento
de los recursos
necesarios.
(ME1) 2.1 Revisión de
auditorías / exámenes
Control: Revise el informe
previo, si existe, y verificar
la realización de las
correcciones acordadas.
Tenga en cuenta las
deficiencias restantes.
A.11 Control de accesos
A.11.2 Gestión de usuarios
de acceso. Objetivo:
Asegurar el acceso de
usuarios autorizados y
evitar el acceso no
autorizado a los sistemas
de información.
(SO) 4.5 Administración
de accesos
(SO) 6.6.9 Administración
de roles
(DS4.1, DS5.3, DS11.1,
DS11.4, DS11.6, DS12.5,
ME2.1) 2.4 Las
instalaciones físicas y el
acceso a los sistemas de
bases de datos están
asegurados.
A.11.2.1 Registro de
usuarios.
(SO) 4.5.5.1 Solicitud de
acceso
(SO) 4.5.7.1 Identificación
de usuario
A.11.2.2 Administración de
privilegios. Control: La
asignación y uso de
privilegios tendrán carácter
reservado y controlado.
(SO) 4.5.5.3 Proporcionar
derechos
A.11.2.3 Administración de
contraseñas de usuarios.
Control: La asignación de
contraseñas se controla a
través de una gestión
oficial de procesos.
(SO) 4.5.5.5 Registro y
seguimiento de accesos
(SO) 4.5.5.6 Removiendo
o restringiendo derechos
(DS5.3, DS5.4)
3.1 Cuenta adecuada y
controles de contraseña
están en su lugar
Control: Asegúrese de que
todos los usuarios
(internos, externos y
temporales) y su actividad
en sistemas de TI son
singularmente
identificables.
A.11.2.4 Revisión de los
derechos de acceso de
usuario.
(SO) 4.5.5.4 Supervisión
del estado de identidad
(DS5.3) 3.1.4 Revise la
lista de usuarios para
asegurarse de que las
cuentas generales no se
utilizan (por ejemplo,
pruebas, invitado o
cuentas compartidas).
A.11.3 Responsabilidades
de los usuarios. Objetivo:
evitar el acceso de
usuarios no autorizados, y
el compromiso o robo de
información y
procesamiento de la
información
(DS5.3) 3.1.5 Revise la
lista para asegurarse de
que las cuentas y las
contraseñas
predeterminadas no se
utilizan. Verifique esto al
tratar de iniciar sesión en
la base de datos con las
cuentas y contraseñas por
defecto.
A.11.3.1 Uso de
contraseñas. Control: Los
usuarios estarán obligados
a aplicar buenas prácticas
de seguridad en la
selección y uso de
contraseñas.
(DS5.3, DS9.3)
3.1.8 Contraseña atributos
Control: atributos de
contraseña (frecuencia de
cambio, la longitud de la
contraseña, la reutilización
de las contraseñas) se
establecen de acuerdo con
la política y la función de la
sensibilidad de la
información disponible
para el usuario.
A.11.3.2 Equipo de
usuario desatendida
Control: Los usuarios
deberán asegurarse de
que el equipo desatendido
tiene adecuado
protección.
(DS12.5) 2.4.1 Visita el
centro de datos e
identificar la ubicación de
los sistemas de base de
datos de claves.
Asegúrese de que los
sistemas se almacenan en
un entorno seguro y que
los protectores de pantalla
protegido por contraseña
están en su lugar.
A.11.5 Control de acceso
al sistema operativo.
Objetivo: evitar el acceso
no autorizado a los
sistemas operativos.
(SO) 7.6 Administración
de accesos
A.11.5.1 Asegurar los
procedimientos de uso de
sesión.
A.11.5.2 Identificación y
autenticación de usuario.
Control: Todos los
usuarios deben tener un
(PO2, PO4.6, DS5.3,
DS5.4, DS7, DS9,
DS11.1)
4.1 Los usuarios se limitan
identificador único (ID de
usuario) para su personal
sólo uso, y una técnica de
autenticación adecuado
serán elegidos de
justificar la identidad
alegada de un usuario.
a la información necesaria
para llevar a cabo sus
responsabilidades de
trabajo. Control: Los
procesos deben existir
para garantizar el acceso
correcto tanto de los
usuarios generales como
de los privilegiados
A.11.5.3 Sistema de
gestión de contraseñas.
Control: Sistemas de
gestión de contraseñas
será interactivo y deberá
asegurar contraseñas de
calidad.
A.11.6 Solicitud y control
de acceso a la
información. Objetivo:
evitar el acceso no
autorizado a la información
contenida en los sistemas
de aplicación.
(SO) 6.5 Administración
de la aplicación
A.11.6.1 Restricción de
acceso a la información.
Control: El acceso a la
información y las funciones
de aplicación del sistema
por los usuarios y personal
de apoyo se limitará de
acuerdo con lo definido
política de control de
acceso.
A.11.6.2 Aislamiento del
sistema sensible. Control:
Sistemas sensibles se
tienen en ambientes
aislados.
A.12 Adquisición de
sistemas de información,
desarrollo y mantenimiento
(ST) 4.4.5.3
Administración de
versiones y despliegues.
Construir y probar.
A.12.1 Requerimientos de
seguridad a los sistemas
de información. Objetivo:
Garantizar que la
seguridad es una parte
integral de los sistemas de
información.
(ST) 4.4.5.3
Administración de
versiones y despliegues.
Construir y probar.
A.12.1.1 Especificar
requisitos de análisis y
seguridad. Control:
Declaraciones de
requisitos de negocio para
nuevos sistemas de
información,
o mejoras a los sistemas
de información existentes
(SD) 4.4.5.2 Actividades
proactivas y
Administración de la
disponibilidad
1.8 Definir entregables.
Control: La entrega no se
limita al informe final. La
comunicación entre los
equipos de auditoría /
seguridad y el propietario
del proceso es esencial
para el éxito de
asignación.
se especificará los
requisitos para los
controles de seguridad.
A.12.4 Seguridad en los
sistemas de archivos.
Objetivo: Garantizar la
seguridad de los archivos
del sistema.
(ST) 4.3.4.3 Sistema de
Administración de
Configuraciones (ST)
4.5.4.9 Validación de
servicio y prueba.
A.12.4.1 Control de la
operatividad del software.
Control: Debe haber
procedimientos
establecidos para el
control de la instalación de
software en los sistemas
operativos.
A.12.4.2 Protección de
prueba del sistema
datos. Control: Los datos
de prueba deben
seleccionarse con cuidado
y tener un uso protegido y
controlado.
A.12.4.3 Control de acceso
al código fuente. Control:
Se limitará el acceso al
código fuente del
programa.
A.12.5 Seguridad en los
procesos de desarrollo y
soporte. Objetivo:
Mantener la seguridad del
software de aplicación del
sistema y la información.
A.12.5.1 Cambiar los
procedimientos de control.
A.13 Administración de los
incidentes de seguridad
A.13.1 Reportar
acontecimientos seguridad
de la información y las
debilidades.
(SO) 4.2.4.2 Modelo de
incidentes
A.13.1.1 Proporcionar
información sobre
los eventos de seguridad.
(SO) 4.2.4.2 Modelo de
incidentes
A.13.1.2 Reportar
debilidades en la
seguridad de la
información.
A.13.2 Gestión de
incidentes de seguridad de
la información y las
mejoras. Objetivo:
garantizar un enfoque
coherente y eficaz se
aplica a la gestión de
seguridad de la
(SO) 4.5.5.5 Registro y
seguimiento de accesos
(SO) 5.13 Administración
de seguridad de la
información y operación
de servicios.
información de incidentes.
A.13.2.1
Responsabilidades y
procedimientos.
A.13.2.2 Aprender de los
incidentes de seguridad.
A.13.2.3 Reunión de
pruebas.
A.15 Cumplimiento
A.15.1 Cumplimiento de
los requisitos legales.
Objetivo: evitar el
incumplimiento de
cualquier ley, legal,
obligaciones
reglamentarias y
contractuales, y sobre
cualquier requisito de
seguridad.
A.15.1.1 Identificación
aplicable de la legislación.
A.15.1.2 Derechos de
propiedad intelectual.
A.15.1.4 Protección de
datos y privacidad
de la información personal.
Control: La protección de
datos y privacidad estarán
asegurados según se
requiera en los
correspondientes leyes,
reglamentos, y, si procede,
las cláusulas
contractuales.
(SO) 5.6 Almacenamiento
y archivo
A.15.2 El cumplimiento de
las políticas y estándares
de seguridad, y el
cumplimiento técnico.
Objetivo: Velar por el
cumplimiento de los
sistemas con las políticas
de seguridad de la
organización y las normas.
(SO) 5.1 Monitoreo y
control
A.15.2.1 El cumplimiento
de la seguridad, políticas y
normas.
A.15.3 Realización de
auditorías. Objetivo:
maximizar la eficacia y
minimizar las interferencias
hacia / desde el proceso
de auditoría de sistemas
de información.
(SO) 5.1.2.9 Auditoría de
Operación de Servicios
(ME2.1) 1.6 Definir el éxito
de asignación.
Control: Los factores de
éxito necesitan ser
identificados. La
comunicación entre la
auditoría de TI /
aseguramiento de equipo,
otros equipos de
aseguramiento y la
empresa es fundamental.
A.15.3.1 Controles de
auditoría a los sistemas de
información.
ME2.1) 1.9
Comunicaciones
Control: El proceso de
auditoría / seguridad se
comunica con claridad al
cliente / cliente.
A.15.3.2 Protección de
información con
herramientas de auditoría
de sistemas. Control: El
acceso a las herramientas
de auditoría de sistemas
de información debe estar
protegido para evitar
cualquier posible mal uso
(ME2.1) 1.4 Identificar y
documentar los riesgos.
Control: La evaluación de
riesgos es necesario
evaluar en que los
recursos de auditoría
deben ser enfocados. En
la mayoría de las
empresas, los recursos de
auditoría no están
disponibles para todos los
procesos. El enfoque
basado en el riesgo
garantiza la utilización de
los recursos de auditoría
de la manera más eficaz.
(AI2.4, AI2.7, DS5.11,
DS11.1, DS11.6)
6.1 Una estrategia de
cifrado existe y se
implementa para proteger
la información confidencial
en su caso.
Control: cifrado debe
utilizar cada vez que hay
una necesidad de negocio
para asegurar la
información privilegiada.
IMPLEMENTACION DE LA METODOLOGÍA.
Aquí se realiza la auditoría a la organización.
RESULTADOS.
Que información arrojó la auditoría siguiendo los procedimientos.
CONCLUSIONES.
REFERENCIAS
[1] S. Sumathi and S. Esakkirajan, "Database security and recovery," in
Fundamentals of Relational Database Management SystemsAnonymous Springer
Berlin / Heidelberg, 2007, pp. 353-379.
[2] J. Pathak, "Database management systems and auditing," in Information
Technology AuditingAnonymous Springer Berlin Heidelberg, 2005, pp. 157-180.
[3] Diccionario de la lengua española: http://www.rae.es
[4] E. Poort, H. Postema, A. Key and P. de With, "The influence of CMMI on
establishing an architecting process," in Software Architectures, Components, and
Applications, S. Overhage, C. Szyperski, R. Reussner and J. Stafford, Eds. Springer
Berlin / Heidelberg, 2007, pp. 215-230.
[5] M. Jelliti, M. Sibilla, Y. Jamoussi and H. B. Ghezala, "A Model Based Framework
Supporting ITIL Service IT Management," vol. 50, pp. 208-219, 2010.
[6] M. Caffrey, P. Finnigan, R. Geist, A. Gorbachev, T. Gorman, C. Green, C. Hooper,
J. Lewis, N. Litchfield, K. Morton, R. Sands, J. Senegačnik, U. Shaft, R. Shamsudeen,
J. Wilton, G. Wood and P. Finnigan, "User Security," pp. 467-505, 2010.
[7] WHITTINGTON, Ray O; PANY, Kurt, Principios de Auditoría, Mc. GrawHIll,
Décimo Cuarta Edición, 2004.
[8] P. Năstase, F. Năstase and C. Ionescu, "Challenges Generated by the
Implementation of the it Standards Cobit 4.1, Itil V3 and Iso/iec 27002 in Enterprises,"
Economic Computation & Economic Cybernetics Studies & Research, vol. 43, pp. 1-
16, 07, 2009.
[9]http://www.best-management-practice.com/Portfolio-Library/IT-Service
Management-ITIL/ITIL-Version-3/?trackid=002094&DI=582733
[10] ITIL Glossaries/Acronyms © Crown Copyright Office of Government Commerce.
Reproduced with the permission of the Controller of HMSO and the Office of
Government Commerce.
[11] http://www.iso.org/iso/store.htm
[12] http://www.bsi-global.com/upload/Standards%20&%20Publications/shop.html
[13] www.raes.es
[14] www.isaca.org/cobit
[15]http://www.best-management
practice.com/gempdf/itilv3_and_information_security_white_paper_may09
[16] S. Morimoto, D. Horie and J. Cheng, "A Security Requirement Management
Database Based on ISO/IEC 15408," vol. 3982, pp. E1-E1, 2006.
[17] Rodríguez,Hernández Victor; La informática jurídica y su papel en el Derecho
Mexicano”; Revista electrónica de Derecho informático; revista electrónica en
Derecho informático; http://www.vlex.com.
[18] Página electrónica del Instituto Nacional de Estadística, Geografía e Informática;
Desarrollo Informático; www.inegi.gob.mx.
[19] Cantú, Aguillén Ricardo; “Tendencias actuales de la Informática y el Derecho a
Nivel Internacional”; Revista electrónica de Derecho informático.
[20] Página electrónica del Congreso de la Unión; Memoria del Foro de Consulta
sobre Derecho e Informática, México 1999; http://www.cddhcu.gob.mx/camdip/foro.
[21]. Téllez Valdés Julio; Derecho informático, McGraw-Hill; México 1996.
[22] Arellano, Arroyo, Bermejo, López; Tesina “Aseguramiento de la calidad a las
auditorías en tecnología de información”, IPN UPIICSA, México 1999.
[23] http://www.isaca.org.mx/index.html
[24] http://es.wikipedia.org
[25] http://www.iso27000.es/
[26] http://www.itei.org.mx/v3/index.php?seccion=itei