INTEGRIDAD, CONFIABLIDAD Y DISPONIBLIDAD DE LA AUDITORIA INFORMTICA

Introduccin Descripcin General de la Metodologa a Utilizar Detalle de las tareas a realizar Actividades a Corto Plazo

OBJETIVO

Las presentes recomendaciones tienen por objeto brindar una referencia rpida sobre lo que implica la Seguridad Informtica en un Organismo. Reducir los riesgos de error humano, comisin de ilcitos, uso inadecuado de instalaciones y recursos y manejo no autorizado de la informacin. Dar a conocer e instruir a los integrantes de cada rea Informtica sobre las medidas de seguridad que cada Organismo ha tomado en este aspecto.

ALCANCE:
Todas las reas Informticas y/o plataformas de procesamiento de datos de la Administracin

RESPONSABLES
El Jefe del rea Informtica de los distintos organismos y/o aquella persona que ste designe formalmente como Responsable de la Seguridad Informtica

CONCEPTOS PREVIOS:

1.La informacin

La seguridad informtica consiste en asegurar que los recursos de los sistemas informacin (material informtico o programas)

rea Informtica

es el activo ms valioso que cada organismo tiene, es en este sentido que la seguridad informtica tiene como objetivo protegerlo. Son tres los elementos que conforman este activo:

es el lugar donde se lleva a cabo el procesamiento de informacin (programacin, anlisis y diseo de sistemas de informacin, ingreso de datos, procesos de back-ups, etc.).

INFORMACION CONFIABLE:

la informacin
a) Informacin:
Es el objeto de mayor valor para un organismo, el objetivo es el resguardo de la informacin, independientemente del lugar en donde se encuentra registrada, en algn medio electrnico o fsico.

b)Equipos que la soportan

Software, hardware y organizacin.

c) Usuarios:
Individuos que utilizan la estructura tecnolgica y de comunicaciones que manejan la informacin.

La seguridad informtica
. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas:
a) Integridad
Servicio de seguridad que garantiza que la informacin es modificada, incluyendo su creacin y borrado, slo por el personal autorizado.

Redes y comunicaciones
Autenticidad: Se trata de proporcionar los
medios para verificar que el origen de los datos es el correcto, quin los envi y cundo fueron enviados y recibidos.

Entornos financieros o bancarios:

Al realizar transacciones es ms importante mantener la integridad y precisin de los datos que estos sean interceptados o conocidos (confidencialidad).

para esto
Criptografa:
Hay mtodos para mantener y asegurar la autenticidad de los mensajes y la precisin de los datos. Se usan cdigos o firmas aadidos a los mensajes, asegurando integridad y autenticidad.

b) Confidencialidad:
Servicio de seguridad o condicin que asegura que la informacin no pueda estar disponible o ser descubierta por o para personas, entidades o processo no autorizados.

Tambin puede verse como la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la informacin almacenada en l.

Privacidad: Cuando nos referimos a datos de carcter personal

Seguridad Gubernamental:

Los usuarios pueden acceder a la informacin que les est permitida en base a su grado o nivel de autoridad (disposiciones legales o administrativas

Entornos de Negocios:

La confidencialidad asegura la proteccin en base a disposiciones legales o criterios estratgicos de informacin privada.

Mecanismos para salvaguardar la confidencialidad de los datos:

El uso de tcnicas de control de acceso a los sistemas. El cifrado de la informacin confidencial o de las comunicaciones.

Disponibilidad

Un sistema seguro debe mantener la informacin disponible para los usuarios. El sistema, tanto hardware como software, debe mantenerse funcionando eficientemente y ser capaz de recuperarse rpidamente en caso de fallo.

Denegacin de servicio:
Los usuarios no pueden obtener los recursos deseados. Motivos:

definicin
Confidencial idad Inf.

Integridad

Disponibili dad

Conjunto de recursos y tcnicas que permiten asegurar la confidencialidad, integridad y disponibilidad de la informacin.

Metodologa:

El anlisis se desarrolla mediante la ejecucin de ataques y tcnicas de penetracin a sistemas informticos (Hacking tico). Lo que realmente hacemos es reproducir ataques informticos a los cuales pueden verse si logramos penetrar los servidores de las instituciones podremos realizar las recomendaciones tcnicas oportunas.

Excepciones: Previendo no afectar el funcionamiento de los equipos y servicios no se efectan ataques de denegacin de servicios.

Objetivos:

Determinar si la navegacin en Internet por los usuarios de la red interna se realiza de manera segura. Determinar si existen Procesos de Respaldo y Restauracin.

Entregable:

Al final la auditora se le entrega un reporte a la institucin, el reporte presenta un resumen ejecutivo de las principales debilidades encontradas en materia de seguridad informtica. El reporte tambin incluye los detalles de los puntos dbiles encontrados y las respectivas recomendaciones.

Descripcin General de la Metodologa

Es necesario conocer y tratar de pensar cmo actan los atacantes y piratas informticos para ser capaces recomendar soluciones acerca de la seguridad de la informacin. Evaluar la configuracin de la red tanto privada como pblica, determinando la forma en como estas dos redes se interconectan, verificar si existe segmentacin.

Identificar si existen dispositivos que garanticen la privacidad de la red Interna de la institucin ante la amenaza de ataques externos. Determinar si existen Polticas de Seguridad a nivel institucional y evaluar si estn definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)

Verificar que los equipos de seguridad estn configurados de tal forma que no permitan transferencia de informacin que ponga en riesgo la red Interna, como ser transferencias de Zonas DNS, publicacin de Direcciones IP, retransmisin de paquetes a solicitud de ataques de HACKERS etc.

Identificar si la institucin cuenta con un Sistema de Deteccin o Prevencin de Intrusos, Antivirus Corporativo, Filtros de contenido, Servidores de Actualizacin etc.

8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234

Evaluacin de los Dispositivos

Verificar que los Sistemas Operativos hayan sido instalados de acuerdo a las recomendaciones de hardware, configuraciones especiales y Parches necesarios que estn definidos para la plataforma que se ha instalado.

Verificar que exista un software antivirus corporativo actualizado, que garantice la integridad del software y datos crticos de la institucin.
Verificar que la configuracin de los servidores se encuentre ajustada a las necesidades de la empresa, esto es que no mantenga activo servicios y protocolos que la empresa no pretenda usar.
Verificar si est activa la auditora en los equipos principales, servidores o dispositivos de red.

Descripcin General de la Metodologa

Estaciones de Trabajo

Verificar que estn aplicados los parches de seguridad mas recientes del sistema operativo y software instalados
El Software antivirus debe estar actualizado No deben existir carpetas compartidas Verificar que no est instalado software que pueda poner el riesgo el funcionamiento de la red o la informacin misma

SEGURIDAD FISICA Y SEGURIDAD LGICA

La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin

SEGURIDAD DE PERSONAL
Es fundamental educar e informar a todo el personal desde su ingreso y en forma continua, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad

Seguridad del Cableado

El cableado de energa elctrica y de comunicaciones que transporta datos estar protegido contra intercepcin o dao, mediante las siguientes acciones:

a) Utilizar pisoducto o cableado embutido en la pared, siempre que sea posible, cuando corresponda a las instalaciones de procesamiento de informacin. b) Proteger el cableado de red contra intercepcin no autorizada o dao mediante los siguientes controles: Separar los cables de energa de los cables de comunicaciones para evitar interferencias.

Proteger el tendido del cableado troncal (backbone) mediante la utilizacin de ductos blindados.

Mantenimiento de Equipos
Se realizar el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes. Para ello se debe considerar:
a)

b)

c)

Someter el equipamiento a tareas de mantenimiento preventivo Establecer que slo el personal de mantenimiento autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento. Eliminar la informacin confidencial que contenga cualquier equipamiento que sea necesario retirar, realizndose previamente las respectivas copias de resguardo.

Resguardo de papeles y equipamiento

a)

Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios informticos. Guardar bajo llave la informacin sensible o crtica cuando no est en uso, especialmente cuando no hay personal en la oficina. Retirar inmediatamente la informacin sensible o confidencial, una vez impresa.

b)

c)

Procedimientos de Manejo de Incidentes

Se establecern funciones y procedimientos de manejo de incidentes garantizando una respuesta rpida, eficaz y sistemtica a los incidentes relativos a seguridad.

Se deben considerar los siguientes tems: 1. Fallas operativas 2. Cdigo malicioso 3. Intrusiones 4. Fraude informtico 5. Error humano 6. Catstrofes naturales

Proteccin Contra Software Malicioso

Controles Contra Software Malicioso

El Responsable de Seguridad Informtica definir controles de deteccin y prevencin para la proteccin contra software malicioso. El Responsable del rea Informtica, o el personal designado por ste, implementar dichos controles. a) Prohibir el uso de software no autorizado por el Organismo. b) Redactar procedimientos para evitar los riesgos relacionados con la obtencin de archivos y software desde o a travs de redes externas, o por cualquier otro medio, sealando las medidas de proteccin a tomar. c) Instalar y actualizar peridicamente software de deteccin y reparacin de virus, examinado computadoras y medios informticos.

Registro de Fallas
El Responsable del rea Informtica desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento de la informacin o los sistemas de comunicaciones, que permita tomar medidas correctivas. a) Revisin de registros de fallas para garantizar que las mismas fueron resueltas satisfactoriamente. b) Revisin de medidas correctivas para garantizar que los controles no fueron comprometidos, y que las medidas tomadas fueron autorizadas. c) Documentacin de la falla con el objeto de prevenir su repeticin o facilitar su resolucin en caso de reincidencia.

Administracin de la Red
Controles de Redes

El Responsable de Seguridad Informtica definir controles para garantizar la seguridad de los datos y los servicios conectados en las redes del Organismo Establecer los procedimientos para la administracin del equipamiento remoto, incluyendo los equipos en las reas usuarias. Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas. Garantizar mediante actividades de supervisin, que los controles se aplican uniformemente en toda la infraestructura de procesamiento de informacin

CONTROL DE ACCESOS

El acceso por medio de un sistema de restricciones y excepciones a la informacin es la base de todo sistema de seguridad informtica. Para impedir el acceso no autorizado a los sistemas de informacin se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas de informacin, bases de datos y servicios de informacin, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.

Administracin de Accesos de Usuarios

Con el objetivo de impedir el acceso no autorizado a la informacin se implementarn procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas, datos y servicios de informacin.

Responsabilidades del Usuario

Los usuarios

deben seguir buenas prcticas de seguridad en la seleccin y uso de contraseas.

a) Mantener las contraseas en secreto. b) Pedir el cambio de la contrasea siempre que exista un posible indicio de compromiso del sistema o de las contraseas. c) Seleccionar contraseas de calidad, de acuerdo a las prescripciones informadas por el Responsable del Activo de Informacin de que se trate, que:

1. Sean fciles de recordar. 2. No estn basadas en algn dato que otra persona pueda adivinar u obtener fcilmente mediante informacin relacionada con la persona, por ejemplo nombres, nmeros de telfono, fecha de nacimiento, etc. 3. No tengan caracteres idnticos consecutivos o grupos totalmente numricos o totalmente alfabticos.

Actividades a Corto Plazo

Regular la confidencialidad de la informacin: (1) Identificacin y autentificacin, (2) Privacidad y confidencialidad, (3) Integridad y disponibilidad, y (4) No-repudio. Regular la Arquitectura de Red Respaldo y Recuperacin

Caso practico
Servidor de Agencia 20.0.0.3

HS1 HS2 OK1 OK2 PS

1 2 3 4 5 6 7 8 910 12 11 COLACTSTA-

CONSOLE

Switch de Agencia 20.0.0.2

20.0.0.1 ROUTER

10.0.0.1
HS1 HS2 OK1 OK2 PS 1 2 3 4 5 6 7 8 910 12 11 COLACTSTACONSOLE

Switch de Oficina Principal 10.0.0.5

Servidor de Base de Datos 10.0.0.3

Controlador de Dominio 10.0.0.2

PC del Administrador de la Red 10.0.0.4

Gracias