Auditoría de Seguridad Informática

Subdirección de Seguridad de la Información

Auditoría de Seguridad Informática


Introducción

• Auditoría

• La funcion de medir algo en comparación con un estándar

• La auditoría es efectiva si se aplica a:

• Politicas

• Procedimientos

• Sistemas

• Hay auditoría de todos colores y sabores

• La mas común en TI es la de alineación


Auditoría de alineación o cumplimiento

• Consiste en medir que tan bien un sistema o proceso se alinea con las políticas y/o procedimientos que han sido definidos en la organización

• La auditoría busca contestar la pregunta

• ¿Cómo sabes si…?

• Ejemplo, en caso de auditar:

• La implementación de la Política de Seguridad

• ¿Cómo sabe si es efectiva?

• ¿Cómo sabe si los empleados la siguen?

• Instalación de nuevo firewall (o cualquier otro sistema)

• ¿Cómo sabe si realmente protege a la organización?


Resumen

• No importa lo que una organización haga para protegerse, se debe de preguntar:

• ¿Cómo sabes si..?

• Los auditores contestan esta pregunta por medio de la validación.


Objetivo de la auditoría

• Medir y reportar sobre el riesgo.

• El auditor ha sido autorizado por la administración para realizar preguntas difíciles sobre la organización,

• Después de medir el riesgo, los auditores realizan un reporte sobre con los hallazgos

• Ahora la administración puede actuar.


Objetivo Secundario

• Incrementar la concientización.

• El auditor se apoya de la concientización de la administración para que los riesgos puedan ser reducidos.

• Si la administración no quisiera reducir los riesgos, no tendrían un auditor en primer instancia.


Conceptos

• Existen algunas definiciones con las cuales un auditor debe estar familiarizado

• Evaluación

• Alcance

• Objetivos

• Controles

• Remediación

• No conformidades

• Mitigación

• Causa raíz


Evaluación

• Típicamente, se utilizan evaluaciones para medir el cómo una auditoría alcanzo sus objetivos

• Que tan efectiva fue la auditoría

• Que tan bien se aseguro un sistema y como consecuencia, que (otra) cosa podría salir mal.

• Cada auditoría incluye recomendaciones

• Que hacer para mejorar el estado de seguridad deseado de un sistema, sistemas o procesos

• ¿Cómo logramos saber si es sistema fue asegurado? • Por medio de la evaluación.


Alcance de una auditoría

• Es identificar claramente qué es lo que vamos a auditar.

• También llamada la entidad a auditar (Auditable Entity).

• Una vez definido

• El auditor se acerca a los individuos que estarán en la mejor posición para entender que objetivos buscan cumplir sus:

• Políticas y procedimientos

• ¿Qué alcance las medirá de una mejor manera?


Objetivos

• El auditor debe familiarizarse con 2 objetivos

• La auditoría por sí misma tiene un objetivo

• Las políticas, procedimientos y sistemas tienen objetivos también

• El primero es lo que esencialmente estamos buscando lograr o medir a través del proceso de auditoría


Objetivos

• Tan simple como un intento de medir si un sistema ha sido comprometido al comparar una configuración base conocida del sistema

• O tan complejo como medir que tan alineada esta una organización a una serie de políticas y procedimientos.


Objetivo de políticas

• Lo que la política o procedimiento esta supuesto a cumplir o lograr. Por ejemplo:

• “Todos los usuarios deben autenticarse en un sistema con su propio nombre de usuario y contraseña”

• ¿Cuál es el objetivo de esta política?


Objetivos

• Primero, la política busca diferenciar a todos los usuarios en un sistema de manera única.

• Segundo, esta política requiere que a todos los nuevos usuarios se les proporciones un nombre de usuario y contraseña, en un tiempo considerable,

• De manera implícita en el objetivo, todos los usuarios deben tener un nombre de usuario y contraseña cuando lo necesiten.

• Si estamos realizando una evaluación con una solución de análisis de vulnerabilidades

• Nuestro objetivo es identificar vulnerabilidades en la infraestructura de la organización.


La importancia de los objetivos

• La definición de los objetivos y alcance, no necesita tomar mucho tiempo

• Sirve para proteger la infraestructura a evaluar

• Al mismo tiempo que evita que el auditor mismo tenga problemas durante el proceso de auditoría.


Controles

• Si los objetivos son el “Que”, los controles son el “Como”.

• Tomando en cuenta la política anterior

“Todos los usuarios deben autenticarse en un sistema con su propio nombre de usuario y contraseña”

• ¿Qué políticas pueden ayudarnos a cumplir con este objetivo?

• Un proceso de administración de usuarios no basta• Usuarios utilizando cuentas de otras personas

• Usuarios iniciando sesión desde otros equipos

• Un control adecuado sería:• Utilización de tarjetas inteligentes o tokens

• Uso de dispositivos biométricos para el inicio de sesión


No conformidades o excepciones

• Es simplemente algo que no cumplió los objetivos que fueron establecidos por medio de

• Políticas y procedimientos

• Que fue identificado durante el proceso de auditoría


Remediación

• Una vez que encontramos una no conformidad

• Dar una recomendación de alguna forma de remediación.

• Si la no conformidad que ha sido identificada fue que las cuentas de usuario no están siendo eliminadas cuando los empleados dejan de trabajar en la organización

• la remediación será remover estas cuentas.


Mitigación

• En ocasiones no será posible eliminar o remediar un problema.

• Tendremos que admitir que no podremos eliminar un riesgo o amenaza en particular

• Debido a cómo la tecnología o proceso es utilizada en la organización.

• Cuando esto ocurre, debemos de mitigar el riesgo creado como consecuencia del uso de ese proceso o tecnología en la organización.


Causa Raíz

• Una parte importante de la auditoría es identificar la causa raíz de las no conformidades

• Enfocarse lo que realmente sale mal y no en lo que significa la no conformidad

• Si llegamos al doctor con una fractura en el brazo, no nos recetarán una pastilla para el dolor, si no que el doctor revisará el brazo para identificar la gravedad de la fractura

• De lo contrario el doctor nunca identificará la causa raíz del dolor.


Auditoría por medio de estandares

• Los estándares son muy populares dentro de algunas organizaciones porque pareciera que todo el trabajo duro ya esta hecho,

• Lo único que resta es implementar algunos controles para estar seguros.

• Para algunas organizaciones, los estándares son vistos como obstáculos

• Estándares mas comunes

• ISO27001

• SOX

• PCI DSS


Auditoría por medio de Baselines

• Uno de los mejores métodos de auditoría mas común

• Un Baseline es un estado conocido de un sistema.

• Este estado debe ser seguro, de manera que el auditor pueda confiar en la integridad del mismo.

• A lo largo del tiempo el auditor mide que tanto difiere la configuración del sistema con el Baseline inicial.


Checklists

• Una de las principales herramientas del auditor es el checklist.

• Los estándares son una excelente referencia para los checklist.

• Las mejores practicas o estándares generalmente están organizados por una lista de controles que deberían ser implementados para proveer seguridad a la organización.

• El estándar mismo se convierte en un checklist de alto nivel.

• En ocasiones algunas organizaciones pueden tener checklist que sufren del mismo problema que las políticas, son muy vagas, sin alcance y no están basadas en alguna referencia internacional.


Ejercicio - Checklist

• Compare un checklist con una mejor practica

• Con ayuda del profesor y utilizando el material que le proporcione el profesor

• Realice:

• En la carpeta checklist tiene varios checklist para varios sistemas

• En la carpeta Best Practices tiene varios documentos con mejores practicas para diferentes sistemas

• ¿Cuál es la diferencia entre ellos?

• Escriba un Checklist breve para Windows

• Escriba un Checklist breve para Linux


Ejercicio - Buena practicas

• Una vez que ha identificado las diferencias entre un checklist y una buena practica

• Escriba (en breve) una buena practica para el uso de redes sociales

• Al menos 5 puntos o recomendaciones

• Escriba (en breve) una buena practica para el uso de una laptop de su organización

• Alemnos 5 puntos o recomendaciones


Integrando un equipo de auditoría

• La organización de un equipo auditor requiere de un orden jerárquico que garantice el flujo de la información

• La división del trabajo en relación con las funciones que tienen que cumplir

• Coordinador general• Experiencia en el manejo de proyectos y trato con clientes

• Conocimientos avanzados en el tema de auditoría

• Líder de proyecto• Es el enlace entre la coordinación, la organización y el equipo de

auditoría

• Asistente o analista de proyecto• Responsable de atender directamente a todo el personal que

interviene en la auditoría

• Encargado de documentar los hallazgos, evidencias y observaciones


Mantenimeinto de la experiencia

• Es importante que los auditores mantengan su competencia por medio de la actualización de sus habilidades actuales y que obtengan capacitación sobre nuevas técnicas de auditoría y áreas de tecnología.

• El auditor debe de mantener su competencia técnica a través de una educación profesional continua.

• Durante la planificación de la auditoría, se deben de tomar en cuenta las habilidades y los conocimientos de los auditores, y se asigne al personal para tareas especificas de auditoría.



Proceso de Auditoría


Determinando qué auditar

• Comúnmente el alcance de la auditoría define como el ¿Qué? de una auditoría.

• Cuando estamos definiendo nuestro alcance, no debemos distraernos con el ¿Cómo?.

• El cómo, o mas específicamente, como vamos a medir o auditar algo, es el detalle de algo que haremos en el futuro en nuestro proceso de auditoría.

• El auditor realizará una investigación después de definir qué es lo que va a auditar, para determinar el cómo (y en ocasiones averiguar si es posible) auditar lo contenido en el alcance.


El Qué vs el Cómo

• Supongamos que tenemos que auditar el firewall de una organización

“Para cumplir con los objetivos de mi auditoría de este firewall, voy a revisar las reglas de filtrado para

asegurarme que estén bloqueando el tráfico malicioso, anómalo o algún ataque”.

• Esto suena bien, pero no es suficiente.


El Qué vs el Cómo

• Si el auditor simplemente revisa las reglas del firewall, realmente no sabrá si el firewall esta protegiendo o no a la organización.

• Lo único que sabrá, será si las reglas listadas por el firewall están correctas o no.

• ¿Es posible que el firewall permita pasar mas tráfico del que sus reglas dicen?

• Lamentablemente la respuesta es si!!!!.

• Si solo revisamos las reglas, solo sabremos qué es lo que hace el firewall en papel. ¿Cómo sabemos que esta configuración cumple con las políticas de la organización? Tenemos que validar el firewall.


El Qué vs el Cómo

• Cuando decimos que un firewall ha sido “validado” estamos diciendo que, no solo revisamos las reglas del firewall en busca de algún error

• También realizamos pruebas sobre el firewall• Enviando tráfico valido y no valido a través del firewall para

validar qué tipo de tráfico realmente esta dejando pasar.

• Si consideramos el ¿Cómo? muy temprano como auditores, cabe la posibilidad de que nos encontremos con un problema el cual no sabremos resolver

• p.e. auditar algún sistema del cual no tenemos experiencia


El Qué vs el Cómo

• En casos como este, es muy común que en lugar de encontrar una forma de medir el ¿Qué?, cambiamos el ¿Qué? por algo que sepamos “Como” auditar.

• Mientras que esto nos permitirá terminar la auditoría, es muy peligroso.

• Cuando cambiamos el “Que” es muy posible que nos estemos cegando a nosotros mismos de los riesgos que buscamos medir o verificar desde un inicio.

“Siempre averigua el “Que” primero, y preocúpate por el “Como” después”


Análisis de riesgos

• Es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.

• El proceso de análisis y evaluación de riesgos incluye:

• La selección de un método de análisis y evaluación de riesgo el cual deberá ser adecuada para los requisitos identificados de seguridad de la información, legales y regulatorios.

• Determinación de los criterios determinantes para aceptar los riesgos e identificar los niveles aceptables de riesgo.

• Identificación, análisis evaluación de los riesgos.

• Evaluación de opciones para el tratamiento del riesgo, selección de objetivos de control y controles para reducir los riesgos a niveles aceptables.


Análisis de riesgos

• El resultado de un análisis y evaluación de riesgos contribuye para que la organización pueda:

• Determinar las acciones y prioridades adecuadas para el tratamiento con el fin de gestionar los riesgos a la seguridad de la información.


Proceso de análisis y evaluación del riesgo


Caracterización del sistema

• El primer paso es definir el alcance.

• En este paso, los límites del sistema de TI son identificados, junto con los recursos y la información que constituyen el sistema.

• Establece el alcance del esfuerzo de evaluación de riesgos

• Obtener información (por ejemplo, el hardware, software, conectividad del sistema

• La división responsable o personal de apoyo) esenciales para la definición del riesgo.


Identificación de amenazas

• Una amenaza es la posibilidad aprovechar una vulnerabilidad para causar algún daño.

• Una vulnerabilidad es una debilidad que puede ser explotada accidental o intencionalmente.

• Para determinar la probabilidad de una amenaza, se debe considerar la fuente de amenaza, los posibles puntos vulnerables y los controles existentes.

• El objetivo de este paso es identificar las fuentes potenciales de amenaza, así como la identificación de las amenazas aplicables al activo en cuestión.


Identificación de las vulnerabilidades

• El objetivo de este paso es desarrollar una lista de las vulnerabilidades del sistema (defectos o puntos débiles) que podrían ser explotados por las fuentes potenciales de amenaza.


Análisis de control

• Es analizar los controles que se han implementado, o están previstos para su aplicación, por la organización

• Para minimizar o eliminar la posibilidad (o probabilidad) de que una amenaza aproveche una vulnerabilidad y se afecten activos de la organización.


Determinación de probabilidad

• En esta etapa se determina cual es la probabilidad de que una amenaza aproveche una vulnerabilidad y como consecuencia se afecten los activos de la organización.

• Para la determinación de la probabilidad se deberán considerar:

• Motivo y capacidad de la fuente de amenaza

• La naturaleza de la vulnerabilidad

• Existencia y eficacia de los controles actuales


Análisis de impacto

• Determina los efectos adversos resultantes por la explotación de la vulnerabilidad.

• Antes de dar inicio al análisis de impacto es necesario obtener información relacionada con la misión del activo dentro del proceso, que sistemas o información crítica es utilizada y el grado de sensibilidad de la misma.


Determinación del riesgo

• El objetivo de este paso es evaluar el nivel de riesgo una vez identificada las amenazas y las vulnerabilidades. La determinación del riesgo para una particular amenaza/vulnerabilidad puede ser expresada en función de:

• La probabilidad de que una amenaza pueda aprovechar una vulnerabilidad.

• La magnitud del impacto de que una amenaza haya aprovechado una vulnerabilidad y el ataque haya resultado exitoso.

• La efectividad de los controles existentes para reducir o eliminar el riesgo.


Recomendaciones de control

• Se proporcionan los controles que podrían mitigar o eliminar los riesgos identificados y que puedan afectar la operación de la organización.

• Los siguientes factores deben ser considerados en la recomendación de los controles y las soluciones alternativas para minimizar o eliminar los riesgos identificados:

• Eficacia de las opciones recomendadas (por ejemplo, la compatibilidad del sistema)Legislación y regulación

• Política de la organización

• Impacto operativo

• Seguridad y fiabilidad


Documentación de resultados

• Una vez que la evaluación del riesgo ha sido completado (amenazas y vulnerabilidades identificadas, los riesgos evaluados y los controles identificados), los resultados deben estar documentados en un informe.

• Un informe de evaluación de riesgos es un documento de gestión que ayuda a la alta dirección, los propietarios de la misión a tomar decisiones sobre la política, los procedimientos, el presupuesto y los cambios requeridos.


Metodologías de análisis de riesgos

• Actualmente existen numerosas metodologías y herramientas para la gestión del riesgo

• Octave

• NIST (800-30)

• FRAP

• COBRA

• RISK Watch


Etapas de una auditoría

• Una metodología de auditoría debe ser establecida y aprobada por la gerencia de auditoría para lograr consistencia en el enfoque de la misma.

• Esta metodología se debe formalizar y comunicar a todo el personal de auditoría.

• El auditor generalmente seguirá un curso de acción, pasos secuenciales del programa de auditoría para obtener un entendimiento de la entidad que esta auditando.

• A continuación se enumeran los pasos de una auditoría típica



1. Sujeto de auditoría

• Identificar el área que será auditada

2. Objeto de auditoría

• Identificar el propósito de la auditoría. por ejemplo, un objetivo podría ser determinar si los cambios del código fuente del programa ocurren en un ambiente bien definido y controlado.

3. Planificación

• Identificar habilidades y recursos técnicos necesarios

• Identificar las fuentes de información para prueba o revisión tales como flujogramas, políticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores.

• Identificar las localidades o instalaciones que serán auditadas



4. Procedimiento de auditoría y recolección de información

• Identificar y seleccionar el enfoque de auditoría para verificar y comprobar los controles.

• Identificar una lista de individuos que serán entrevistados.

• Identificar y obtener las políticas, estándares y directrices departamentales para realizar la revisión.

• Desarrollar herramientas y metodología de auditoría para probar y verificar el control.



5. Evaluación de los resultados de la auditoría

• Interno de la organización

6. Comunicación con la gerencia

• Interno de la organización

7. Preparación del reporte de auditoría

• Identificar los procedimientos de seguimiento de la revisión

• Identificar los procedimientos para evaluar/Probar la eficiencia y efectividad operacional

• Identificar los procedimientos para probar los controles

• Revisar y evaluar la calidad de los documentos, políticas y procedimientos.



Tecnicas de auditoría


PLANES DE CONTINUIDAD DEL NEGOCIO


Plan de continuidad• El objetivo de un plan de continuidad de negocio (BCP por sus

siglas en inglés Business Continuity Plan) es coordinar la recuperación de las funciones críticas de la organización en caso de que se presente la interrupción de procesos o alguna contingencia

• Puede incluir contingencias de corto y largo plazo, tales como incendios, inundaciones, terremotos, explosiones y otros desastres naturales (considerados en el Plan de Recuperación de Desastres)

• Causados por el hombre como huelgas, terrorismo, además de la suspensión de actividades por periodo vacacional.

• Las prioridades en una contingencia son:

• Garantizar la seguridad de los empleados y visitantes a las instalaciones.

• Mitigar los riesgos o limitar el daño que las amenazas puedan causar.

• Tener planes y procedimientos documentados para garantizar que se ejecuten de manera rápida y efectiva las estrategias de recuperación de los procesos críticos de la organización.


Plan de continuidad

• Puntos importantes que debe contener un Plan de Continuidad del Negocio:

• Identificar la misión y las funciones críticas del negocio.

• Identificar los recursos que soportan las funciones críticas identificadas.

• Identificación de las posibles acciones acciones

• Selección de las estrategias que serán incluidas en el plan de continuidad.

• La implementación de las estrategias de para las contingencias.

• Realizar pruebas y evaluaciones de la efectividad de las estrategias establecidas.


PLANES DE RECUPERACIÓN DE DESASTRES


Plan de recuperación de desastres

• El Plan de Recuperación de Desastres (DRP por sus siglas en inglés Disaster Recovery Plan) ofrece un estado de disponibilidad de los sistemas y recursos

• Permite que el personal pueda responder ante la ocurrencia de algún desastre

• Desastre: cualquier evento que pueda causar una interrupción significativa en las capacidades de procesamiento operacional y/o computacional por un periodo de tiempo, el cual afecte la operación de la organización.



• El Plan de Recuperación de Desastres debe desarrollarse para lograr los siguientes objetivos:

• Limita la magnitud de cualquier pérdida mediante la reducción del tiempo de interrupción de los servicios y aplicaciones críticas.

• Evaluar los daños, su reparación y dar inicio a las acciones requeridas para la recuperación de las actividades, así como la adecuación del sitio alterno.

• Recuperar los datos y la información imprescindible para el funcionamiento de las aplicaciones crítico.

• Administrar la operación de recuperación de una manera organizada y eficaz.

• Preparar al personal de tecnología para responder con eficacia ante una situación de desastre para actuar sobre el proceso de recuperación.



• Con el DRP la organización tiene la responsabilidad de responder a cualquier interrupción a corto o largo plazo de sus servicios

• Razón por la cual el desarrollo, documentación e implementación del Plan de Recuperación de Desastres, permitirá la restauración de la disponibilidad de las aplicaciones críticas

• En forma oportuna y organizada ante una situación de desastre que afecte las instalaciones y recursos con los que opera la organización.


Plan de recuperación de desastres• Puntos importantes que debe incluir un Plan de Recuperación de

Desastres:

• Propósito

• Alcance

• Responsabilidades

• Distribución

• Equipos que intervienen en la recuperación y las responsabilidades asociadas

• Descripción de las acciones a realizar ante una situación de desastre

• Escenarios de recuperación (interrupción prolongada de electricidad, inundación, sismo/terremoto, incendio, desastre total)

• Descripción del sitio alterno ( en caso de que la organización cuente con ello)

• Directorios ( con la información de todo el personal )

• Inventarios de la organización


REDES


Auditoría de Redes

• La diferencia entre un hacker y un consultor de seguridad son los permisos.

• Antes de iniciar cualquier escaneo o pruebas de vulnerabilidades es necesario solicitar permiso de algún jefe superior.

• Identificar los tipos de escaneos se realizarán además del tipo de información que se estará buscando y por último las fechas programadas para ejecutar las pruebas.

• Un permiso por escrito protege a la compañía y al auditor.


Auditoría de Redes

• Es importante definir además el rango de dispositivos que serán verificados.

• Además es necesario considerar que las pruebas que se realicen sean fuera de los horarios de oficina pues la falta de algún servicio de red puede repercutir en la producción de la empresa.


Consideraciones antes de iniciar

• Permisos y acuerdos firmados (entre cliente y nosotros)

• Planea el escaneo

• Un rango de direcciones a la vez

• Escribe una politica

• Si no hay una politica de seguridad de la red, escribela• Que contenga una parte de las uditorías recurrentes de la red

• Que la apruebe el cliente

• Una vez aprobada, solo resta informar de la auditoría días antes de la misma

• Obten permisos

• Obten un permiso firmado por el cliente


Consideraciones

• Informa de la auditoría

• La comunicación es clave

• Los resultados serán mejores• Daras tiempo para que los administradores instalen parches

• Recuerda, el objetivo es identificar riesgos, no poner en evidencia a los administradores

• Comunicación, comunicación y mas comunicación• Imagina que realizas una auditoría de una red con

• Firewalls• IDS• IPS

• Lanzaras muchas alertas

• Pondrás a correr a varios administradores de manera innecesaria

• Amenos que estes auditando su tiempo de respuesta ante incidentes


Consideraciones

• Debes estar presente todo el tiempo

• Antes, durante y después• Si dejas alguna herramienta corriendo toda la noche

• Debes estar en el telefono en caso de alguna emergencia

• Sé persistente

• Identifica todos los dispositivos definidos en el alcance

• Da recomendaciones

• Ve con la administración y la dirección para indicar• Riesgos

• Cómo asegurar la red o sistemas


Ejercicio

• En ubuntu linux 10.04

• Instalar nmap• sudo apt-get install nmap

• Realizar un barrido de puertos TCP de un rango de IPS• nmap –sS –P0 –p 1-65535 RANGO_IPS

• -sS (Solo puertos TCP)• -P0 asumir que cualquier IP esta “viva”• RANGO_IPS ej. 192.168.1.0/24

• Probar con las opciones

• -sV• -O• -sU

• ¿Qué sistemas operativos hay en la red?

• ¿Qué servicios operan sobre la red?

• Que versiones tienen?


Redes Inalámbricas

• Cuando se realizará una auditoría en redes inalámbricas se inicia identificando los dispositivos móviles.

• En muchas organizaciones se hace especial énfasis en los Access Point (APs). Sin embargo, es necesario considerar otras redes inalámbricas como el Bluetooth

• Es muy importante tener disponible en todo momento un inventario de APs autorizados, ya que en las redes inalámbricas un usuario puede instalar y configurar un Access Point con lo que usuarios externos pueden tener un potencial acceso a los recursos de la red corporativa.


Wireless

• Existen dos caminos para realizar una auditoría en los Access points disponibles.

• Se podría hacer del lado inalámbrico, esto consistiría en caminar sobre todo el entorno e identificar cualquier dispositivo inalámbrico disponible. Herramientas como NetStumbler y Kismet pueden ser usadas para este tipo de evaluación.

• Otra opción es del lado de los cables o alámbrico, para este caso Nessus podría ser muy útil.


Checklist de Redes inalambricas

• A continuación se darán una lista de preguntas que el auditor deberá tener presentes al estar realizando la auditoría de redes.

• ¿Existe una política de seguridad en las redes WLAN?

• ¿Existe una política de configuración base?

• ¿Se ha realizado una evaluación de riesgos en el entorno de la red?

• ¿Los APs se encuentran físicamente seguros?

• ¿Existe una apropiada capacitación para los administradores?

• ¿Cuál es la arquitectura del entorno de la WLAN?

• ¿Qué tecnología de redes inalámbricas está siendo usada?


Checklist de redes inalambricas• ¿Los clientes deben autenticarse a las estaciones base?

• ¿Las configuraciones por default de fábrica, como contraseñas y SSID han sido cambiadas?

• ¿Con qué regularidad se cambian las contraseñas y las llaves de cifrado?

• ¿El equipo está realizando broadcast del SSID?

• ¿La información y datos son cifrados?

• ¿Las conexiones que se realizan son registradas?

• ¿Existen bitácoras que son revisadas regularmente para encontrar intentos de conexiones no autorizados?

• ¿Existe un procedimiento para mantener a los usuarios, darlos de alta o baja?

• ¿Los clientes están correctamente configurados con un Firewall personal?


Ejercicio

• Solo para clientes inalambricos

• Utilizar Kismet o netumbler para identificar las redes alrededor, identificar

• BSSID

• SSID

• Cifrado

• Canal

• Clientes

• Señal


Bluetooth

• Bluetooth fue diseñado para un rango de alcance corto

• Las aplicaciones que utilizan Bluetooth a su vez requieren un ancho de banda muy pequeño.

• La velocidad de transferencia del Bluetooth es muy baja, aproximadamente 725 Kb/s

• Lo que la hace una opción muy mala para que pueda golpear la infraestructura de red.

• Aún así Bluetooth puede contener información crítica, y por lo tanto, es necesario ser consientes con respecto a su seguridad.


Bluetooth

• Algunos ataques conocidos son los siguientes:

• Bluejacking. Es el envío de mensajes masivos a un objetivo

• Bluesnarfing. Es el robo de información en teléfonos. Si un teléfono con Bluetooth es descubierto por un atacante dentro de un rango apropiado, el atacante puede crear una conexión lo que le permite descargar información (calendario y lista de contactos), así como también las fotos de los igualmente pueden ser descargadas.


Bluetooth

• Lo difícil complicado para un intruso en el Bluesnarfing es que debe estar a lo más a 10 metros de distancia del objetivo por un periodo corto de tiempo

• La recomendación para evitar este tipo de ataques es configurar el dispositivo como “no visible” (undiscoverable) o apagar completamente el Bluetooth.


Bluetooth

• Las herramientas más populares para realizar pruebas de auditoría en dispositivos con Bluetooth son las siguientes:

• Bluez. El proyecto Bluez mantiene la implementación de las especificaciones de los estándares en dispositivos inalámbricos Bluetooth para Linux

• OpenOBEX. Es una implementación de código libre del protocolo OBEX (Object Exchange). OBEX es utilizado en redes Ad-hoc para intercambiar objetos como archivos, imágenes, entradas de calendario (vCal), tarjetas de negocios (vCard), etc.


SISTEMAS OPERATIVOS WINDOWS


Checklist para sistemas Windows

• ¿El sistema tiene un antivirus actualizado?

• ¿El sistema tiene un firewall configurado?

• ¿Se ejecutan actualizaciones para TODO el software de manera periodica?

• ¿Qué servicios operan sobre el sistema?

• ¿Qué puertos ofrecen un servicio hacia la red?

• ¿Existen cuentas de invitado activas?

• ¿Las contraseñas son fuertes?

• ¿Existe una configuración que obliga a cambiar las contraseñas de manera frecuente?

• ¿Existe una configuración que obliga a cambiar las contraseñas de manera frecuente?


Auditoría de sistemas Windows

• Identificación del sistema


Identificación del sistema

• msinfo32



• Pstools de Microsoft

• http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx

• psinfo


Parches, fechas de instalación, arranque, etc

• systeminfo


Aplicaciones, y sus actualizaciones

• psinfo –h –s –d

• Sistemas de archivos


Microsoft Baseline Security Status

• Herramienta libre de Microsoft

• Realiza verificaciones varias verificaciones de seguridad en sistemas windows, incluso en

• ISS

• SQL Server

• Internet Explorer

• Cuenta con un análisis de vulnerabilidades rudimentario, pero útil

• http://technet.microsoft.com/es-mx/security/cc184924.aspx


MBSA


Ejercicio

• Obtenga la información general de su sistema operativo Windows con las herramientas

• psinfo

• Systeminfo

• MBSA

• ¿Cuál le resulta mas util?

• No descarte ninguna• ¿Podrá instalar un MBSA en un equipo del cliente?

• La mayoría de las ocaciones no


MBSA - Configuración


MBSA - Escaneo


MBSA – Resultados (resumen y actualizaciones)


MBSA – Vulnerabilidades administrativas


MBSA – How to fix


MBSA – Información adicional


MBSA – Reportes guardados


Servicios innecesarios

• Muchos servicios son instalados desde la instalación, pero no son necesarios para la operación

• ISS, SMTP, Messenger

• Los servicios son aplicaciones que pueden tener vulnerabilidades

• Servicios sin utilizar pueden no estar actualizados

• Debería ser removidos del sistema

• Algunos servicios “sospechosos” podrían indicar un compromiso por malware


¿Cómo checo los servicios?

• Ejecute mmc en la consola

• Archivo->Agregar o quitar complementos• Servicios->Agregar


Servicios

• psservice | more


Programas y servicios

• tasklist


Politica de contraseñas

• net accounts


Scripts de inicio

• Autoruns

• Tambien puede listar• Tareas programadas

• Add-ins de Internet Explorer

• Llaves del registro


Ejercicio

• Equipos de 2 personas

• Cada integrante obtenga el baseline de su sistema

• Utilice todas las herramientas aquí listadas

• Recuerde que:• Un Baseline es un estado conocido de un sistema.

• Este estado debe ser seguro, de manera que el auditor pueda confiar en la integridad del mismo.

• A lo largo del tiempo el auditor mide que tanto difiere la configuración del sistema con el Baseline inicial.

• Continua…..


Ejercicio

• Intercambien lugares

• Hagan cambios en la configuración del sistema• Instalen software (no keyloggers)

• Cambien políticas

• Identifique que cambios a su baseline realizo su compañero

• No se aceptan menos de 5 cambios diferentes


SISTEMAS OPERATIVOS UNIX



• uname –a

• cat /etc/issue

• La salida puede varias dependiendo de la distribución de Linux o el unix


Paquetes instalados

• dpkg –l

• Listado de paquetes instalados


Paquetes instalados

• Archivos instalados por paquete

• dpkg –l PAQUETE


Scripts de inicio

• /etc/rc.d

• /etc/init.d

• -/etc/rc*d• * ejecute el comando

• runlevel• Para identificar el nivel de ejecución de su linux

• /etc/rc.local

• /etc/inittab

• Ejemplo

• /etc/rc2.d/S20sshd• S -> Start (cambiar a K para que no vuelva a iniciar el servicio)

• 20 -> orden (siendo 1 el primero)

• Sshd -> nombre del servicio


Puertos abierdos

• netstat –ant

• lsoft –i

• Procesos con un socket de red abierto• Correlacione los resultados

• ¿Son iguales?


Varios

• Usuarios con sesión abierta

• w


Sistemas de archivos montados

• fdisk –l


Memoria

• Free


Procesos en ejecución

• ps –aux

• Lista procesos con su uso de memoria


Procesos en ejecución

• ps –fea

• Lista procesos con su PID y el PID de su padre (PPID)


Variables del sistema

• /etc/sysctl.conf

• Reenvio de tráfico de red

• Redirección de tráfico de red

• Bitacora de eventos sospechosos


Archivo passwd

• Información de autenticación de usuarios

1. Usuario

2. Password

• Si el campo esta en blanco, no hay contraseña

• Si el campo tiene una X significa que el password esta cifrado en alguna parte

3. User ID

4. Gruop ID

5. Nombre

6. Directorio Home

7. Shell


Archivo Shadow

• Solo root puede leerlo

1. Usuario

2. Password

• * o ! Significa que no se puede iniciar sesión con ese usuario

• Cifrado con Sha-512

3. Ultima fecha de cambio

4. Politica de password

1. Tiempo minio de duración

2. Tiempo maximo de duración

3. Aviso de cambio de password (Dias antes de que expire)

4. Tiempo de tolerancia para el cambio de password


Buscando archivos SUID y SGID

• -r-sr-xr-x 1 root bin 15613 abr 27 1998 /usr/bin/passwd

• Significa que el ejecutable passwd va a tener permisos del propietario (ROOT)

• Necesario para que todos los usuarios cambien su contraseña

• Cualquier intruso que haya ingresado a su sistema, dejara una shell con el SUID activado, para que cuando regrese, tenga ese nivel de permisos


Buscando archivos SUID

• Obteniendo una lista de todos los archivos SUID y SGID

• Utilizamos el comando find

• find / -perm +06000 –type f

• Esto deberá ser parte de la creación de tu baseline


Localizando archivos recien modificados

• Cree un archivo

• Echo “1” >> /tmp/timestamp

• Cambie su fecha de modificación

• touch –m 04222006 /tmp/timestamp

• Utilice este archivo como referencia en su busqueda

• find / -newer /tmp/timestamp –type f

• Encuentra, imprime y ordena por fecha

• Todos los archivos regulares

• Mas recientes que el 22 de Abril del 2006


Bitácoras de unix

• /var/run/utmp

• Un snapshot de la sesión actual

• /var/log/wtmp

• Historial de inicios y cierres de sesión

• /var/log/btmp

• Historial de fallos en el inicio de sesión

• /var/log/messages

• Mensajes del proceso de syslog

• /var/log/secure

• Acceso y autenticación


Archivo utmp

• Contiene un snapshot de los usuarios actuales del sistema

• Es consultado por los comandos• finger

• who

• w

• users

• Contiene• Nombre de usuario

• Terminal

• Fecha de inicio de sesión

• Equipo (remoto o local)


Archivo wtmp

• Archivo binario

• Similar a utmp

• Utilizado por los comandos• finger

• who

• last

• Contiene• Nombre de usuario

• Terminal

• Fecha de inicio de sesión

• Equipo (remoto o local)


Archivo btmp

• Registra los intentos fallidos de sesión

• Utilizado por el comando• lastb

• Solo registra si existe el archivo


crontabs

• /var/spool/cron, /var/cron, etc.

• Aquí residen los crontabs de los usuarios

• Crond

• Este es el demonio que se ejecuta constantemente

• Programación de tareas basado en• Mes

• Semana

• Día

• Hora

• Minuto


APLICACIONES


Auditoría de aplicaciones

• Al preguntarle a cualquier investigador de seguridad cómo es que éste descubre vulnerabilidades o fallas en las aplicaciones, se pueden obtener infinidad de respuestas

• En un nivel alto, existen tres aproximaciones principales para descubrir las vulnerabilidades de seguridad:

• Pruebas de caja blanca

• Pruebas de caja negra

• Pruebas de Caja gris


Pruebas de caja blanca

• Las pruebas de caja blanca requieren acceso completo al código fuente, las especificaciones de diseño y quizá a los propios programadores.

• Las pruebas de caja blanca, no son posibles si no tenemos acceso al código fuente de la objetivo.

• Ventajas

• Cobertura de código

• Desventajas

• Complejidad del código fuente

• Disponibilidad del código fuente


Ventajas


Desventajas


Desventajas


Ejercicio

• Vulnerabilidades en código en aplicaciones Web

• Una buena referencia es el Proyecto OWASP• Proyecto de código abierto dedicado a determinar y combatir

las causas que hacen que el software sea inseguro.

• Publica cada año un documento de alto nivel que se centra sobre las vulnerabilidades más críticas de las aplicaciones web.

• http://www.owasp.org/index.php/Top_10_2010-Main

• Cada una de las amenazas cuenta con ejemplos de código vulnerables

• Cuenta con guias de revisión de código• http://www.owasp.org/index.php/

OWASP_Code_Review_Guide_Table_of_Contents


Ejercicio

• CWE (Common Weakness Enumeration)

• Proyecto que provee una base de datos de vulnerabilidades

• Cuenta con una lista de los 25 errores mas comunes de los desarrolladores

• http://cwe.mitre.org/top25/index.html

• Buena referencia para aprender el “Como” auditar cierto tipo de lenguaje de programación

• Clasificación del TOP 25 por lenguaje de programación• http://cwe.mitre.org/top25/profiles.html#ProfileLang

• Observar que muchas vulnerabilidades son independientes del lenguaje de programación


Herramientas para la automatización

• Libres

• RATs• http://www.fortify.com/security-resources/rats.jsp

• Yasca• http://www.scovetta.com/yasca.html

• Comerciales

• Fortify Source Code Analysis• http://www.fortify.com/products/sca/

• Rational AppScan Source Edition• http://www-01.ibm.com/software/rational/products/appscan/source/

• Lista completa

• http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis


Pruebas de caja negra

• Se tiene acceso de manera remota a las aplicaciones y servicios Web.

• Se pueden elaborar entradas o peticiones en forma de Lenguaje de marcado de hipertexto, de sus siglas en inglés Hypertext Markup Language (HTML) o en Lenguaje de marcado extensible (Extensible Markup Language - XML) y observar la página Web generada o el valor que se regresa, respectivamente, pero no se tiene idea de lo que está sucediendo por debajo.

• No se tiene acceso al código fuente


Ventajas

• Disponibilidad: Las pruebas de caja negra son siempre aplicables incluso en situaciones cuando el código fuente está disponible todavía pueden ser beneficiosas.

• Reproducibilidad: una prueba de este tipo sobre un Protocolo de transferencia de archivos (FTP), por ejemplo, puede ser fácilmente reutilizada para probar cualquier otro servidor FTP.

• Simplicidad: pueden llevarse a cabo sin un buen conocimiento del funcionamiento interno de la aplicación.


Desventajas

• Cobertura: Uno de los mayores retos con la prueba de caja negra es determinar qué tan efectivas han sido las pruebas.

• ¿Si no encontramos nada la aplicación es segura?

• Inteligencia: Ataques complejos podrían, requerir múltiples vectores de ataque, algunos de los cuales colocan la aplicación del objetivo en un estado vulnerable y otros lanzan la explotación.

• Ataques como éstos requieren una sólida comprensión de la lógica de la aplicación en prueba

• Por lo general, sólo son descubiertos con las auditorías de código fuente


Pruebas de caja gris

• Se requiere acceso a binarios compilados y quizá alguna documentación básica de la aplicación

• Incluye un plus en la auditoría de caja negra adicionando elementos a través de la ingeniería inversa

• Se utiliza a menudo como sinónimo de la frase de auditoría de binarios

• No es posible convertir un archivo binario de nuevo en su representación original del código fuente

• La ingeniería inversa permite convertir parte del binario en un formato legible

• Útil para la identificación de vulnerabilidades


Herramientas

• Desemsambladores: convierten el binario en lenguaje ensamblador, comprensible para el ser humano

• Desventajas• El analista requiere de conocimiento del lengiaje maquina

• ¿Esto significa algo para usted?


Herramientas

• Decompiladores: convierte el binario en código fuente (parcialmente), útil para obtener porciones de código como:

• Decisiones (IF, IFELSE, ELSE)

• LOOPS (While, Do While, For)

• Depuradores: ejecutan un binario paso a paso, permitiendo su inspección conforme ejecuta cada instrucción de código

• Olly DBG es libre y es el mas utilizado no solo para pruebas de caja gris

• Generadores de llave (Keygen’s)

• Ingenieria inversa en general


BASES DE DATOS


¿Qué es SQL?• Structured Query Language

• Lenguaje utilizado para obtener y actualizad información en la estructura de una base de datos

• Manipulación de datos

• Select

• Update

• Deletc

• Insert into

• Definición de datos

• Create table

• Alter table

• Dop table

• Create index

• Drop index


Estructura de una base de datos


Select

• Select <campos> from <tabla> where <condicion>

• Ejemplo

• Select cliente_key from clientes where telefono=5512341221

cliente_key Nombre Apellido Telefono

1 Israel Lopez 5512341221

2 Carlos Rosales 5512341221

3 Juan Becerril 5512341221


WHERE

• Caracteres

• =

• <> o !=

• >

• <

• >=

• <=

• IN

• BETWEEN

• LIKE

• AND

• OR

• Select * from clientes where nombre like ‘M%’

• Select * from clientes where cliente_key > 2

• Select * from clientes whre cliente_key > 2 OR apellido = “Becerril”


Otros comandos para manipulación de datos

• UPDATE

• Modifica datos

• INSERT INTO

• Agrega datos

• DELETE

• Borra datos

• Ejemplo

• Insert into clientes values (4, ‘Ruben’, ’Aquino’, ’5527123912’)cliente_key Nombre Apellido Telefono

1 Israel Lopez 5512341221

2 Carlos Rosales 5512341221

3 Juan Becerril 5512341221

4 Ruben Aquino 5527123912


ORDER BY y GROUP BY

• ORDER BY

• Select nombre from clientes ORDER BY apellido, nombre

• GROUP BY

• Select cliente_key, SUM(cantidad) FROM ordenes GROUP BY cliente_key


Permisos

• GRANT

• Otorga permisos de sistema

• DENY

• Niega permisos de sistema

• REVOKE

• Revoca un permiso otorgado, o un permiso negado


Auditando bases de datos

• Ejemplos para ORACLE

• Los conceptos aplican para todas las bases de datos

• Algunos comandos SQL son especificos de ORACLE


Escenario

• Nos encontraremos con aplicaciones compuestas de 3 capas

• Capa de aplicación• SAP, PeopleSoft

• PHP, .Net, Web

• Capa de base de datos• Oracle

• Sybase

• MSSQL Server

• Sistema operativo• Windows

• Unix

• Solaris


Checklist básico

• ¿El password del dba esta protegido?

• ¿Las restricciones de administración (ADMIN_RESTRICTIONS) estan establecidas?

• ¿La generación de bitácoras en las transacciones esta habilitada?


Autenticación

• Metodos de autenticación en Oracle

• Autenticación en la base de datos

• Autenticación en el sistema operativo

• Métodos de autenticación en MSSQL Server

• Autenticación en modo Windows NT• Integrado con el sistema operativo

• Conexión confiable

• Modo mixto• Autenticación en el servidor de SQL

• Conexiones no confiales• ¿por qué?

• Compatiblidad con otras versiones• Soporte para clientes windows de otras versiones atrás• Requerido para conexiones desde internet


Usuarios y roles

• Verificar que solo los usuarios apropiados tienen acceso

• Verificar que los usuarios sean eliminados (ex empleados)

• Verificar que cada usuario tenga un ID diferente

• Verificar que ciertos equipos “confiables” puedan conectarse a la base de datos

• Verificar que los roles sean apropiados

• ORACLE

• Select * FROM dba_users

• Select * from dba_roles


Otras cosas a considerar• Politicas y procedimientos

• Parches

• Sistema operativo

• Archivos instalados

• Privilegios del servicio y procesos

• Seguridad fisica

• Control de cambios

• Recuperación de desastres

• Separación de ambientes

• Producción

• Pruebas

• Desarrollo

• Scripts para la administración

• Respaldos


SISTEMAS DE GESTIÓN DE LA INFORMACIÓN


Sistema de gestión de Seguridad de la Información

• El SGSI, Sistema de Gestión de Seguridad de la Información, es el concepto central sobre el que se construye la norma ISO 27001.

• proporciona el aseguramiento de la confidencialidad, integridad y disponibilidad de la información de las organizaciones

• Se crea y se mantiene por medio de un proceso sistemático, documentado y conocido por toda la organización.

• Este proceso es lo que establece un SGSI como auditoría.


Auditoría de un SGSI

• Una investigación sistémica de la intención, la implementación y la efectividad de aspectos seleccionados del sistema de gestión de una organización, división o departamento.

• Se realizan las auditorías contra procedimientos escritos o formales con reportes y registros formales


Etapas de la auditoría

1. Auditoría de intención o de adecuación

• El auditor necesita información de la organización que explique la forma en que cumplen con la norma.

• Esta evidencia puede presentarse en la forma de un manual SGSI que debe evaluar el auditor para ver si el sistema delineado en el documento cumple con la norma.

2. Auditoría de cumplimiento o implementación

• El auditor necesita visitar a la organización y determinar el grado al cual la práctica real cumple con el manual.


Etapas de la auditoría

3. Evaluación de efectividad

• Todos los hallazgos de la auditoría se registran y analizan para evaluar el grado al cual el Sistema de Gestión de Seguridad de la Información logra los objetivos declarados.

• No es posible auditar cada actividad, cada documento de manera individual

• La auditoría, por tanto, sólo puede examinar aspectos seleccionados.

• La auditoría es un ejercicio de muestro y se debe reconocer por aquellos que realizan la auditoría y por aquellos a quienes se les aplicará la auditoría en cuestión


Tipos de auditoría

• Existen dos tipos básicos, subdivididos aun más de conformidad con los diferentes énfasis y objetivos. Los dos tipos son auditorías externas y auditorías internas.


Tipos de auditoría

• Tercera parte

• Se llevan a cabo por organizaciones independientes externas. Tales organizaciones proporcionan la certificación o el registro de conformidad con la norma ISO 27001.

• Segunda parte

• Se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre.

• Primera parte

• Son aquellas que realiza una organización en sí misma para confirmar a la dirección que su sistema de gestión está funcionando de manera efectiva.


Certificación

• Un SGSI es implementado principalmente para permitir a la propia organización tener una visión sistémica de la seguridad de la información, basándose en uno o más estándares internacionales

• Certificarse significa

• Adherirse a un estándar de referencia (ISO/IEC 27001:2005 O UNE-ISO/IEC 27001:2007).

• Analizar, interpretar e implementar lo requerido por el estándar.

• Demostrar la conformidad con el estándar por medio de evidencias objetivas.

• Demostrar la eficacia del SGSI en alcanzar lo definido en materia de seguridad de la información.


Proceso de certificación


Proceso de certificación


Etapa 1. Revisión documental

• La valoración del sistema documental de la organización(requisito 4.3.1):

• Alcance de la certificación.

• Análisis y gestión de riesgos.

• Inventario activos.

• Declaración de aplicabilidad (SoA, Statement of Aplicability).

• Manual, políticas de seguridad.

• Procedimientos de seguridad que se consideren oportunos.

• Evaluar ubicaciones.

• Evaluar grado de comprensión del sistema de gestión, conocimiento del personal.

• Auditorías internas y revisión por parte de la dirección.

• Revisión de aspectos legales.


Revisión documental

• El resultado se integra en un informe que contiene los puntos fuertes y debiles del SGSI

• No se puede avanzar si hay resultados negativos• Falta de documentación

• Análisis de riesgos incompleto

• En caso de tener todo, se pasa a la fase 2

• Redacción del plan

• Agenda de las auditorías


Etapa 2. Auditoría de certificación

• El equipo de auditoría valora la conformidad y eficacia del SGSI de la misma organización

• Se realiza un muestreo

• Se evaluan actividades de la organización para identificar la capacitad en la toma de desiciones y la eficacia del SGSI

• Entrevistas con el staff, incluyendo la dirección

• Se revisan la información y pruebas recopiladas

• Se dan opciones de mejora

• Al finalizar se redacta un informe con los resultados y las opciones de mejora

• Además de cualquier no conformidad


Auditoría de certificación

• En caso de existir no conformidades se deben corregir las anomalias encontradas

• En caso de no tener no conformidades, se recibe el certificado ISO/IEC 27001:2005

• Para las actividades citadas en el campo de aplicación

• Solo en este momento se puede decir que se tiene un SGSI certificado

• El tiempo de la emisión del certificado varia entre entidades certificadoras


Etapa 3. Visitas de seguimiento

• Se programan visitas cada determinado tiempo para verificar la eficacia del SGSI

• Cada 6 meses o 1 año

• El objetivo de estas visitas es el comprobar que el SGSI

• Se mantiene

• Esta en funcionamiento

• Tiene una mejora continua


Proceso de auditoría del SGSI

• Desarrollo del plan

• Se define el objetivo de la auditoría

• P.e. Evaluar a la compañía en cuanto a su grado de cumplimiento con el Sistema de Gestión de Seguridad de la Información.

• Se define el alcance de la auditoría

• Se determinan las áreas, procesos, productos, servicios, etc. que se quieran revisar más a detalle, o donde se reflejarán los esfuerzos requeridos.

• Para las auditorías de segunda parte, el alcance lo decide el cliente de la organización


Desarrollo del plan• Se nombra a la persona lider del equipo de auditoría

• Es su responsabilidad• La planeación

• Realización

• Reporte de auditoría

• Recibe información sobre• Objetivos

• Alcance

• Determina• Dias de personal

• Personal requerido

• Nivel de conocimientos del personal

• Se comunica con la orgnización a auditar• Determinar tamaño

• Gama de productos

• Nombres, domicilios, contactos


Desarrollo del plan

• El lider organiza una junta preliminar en el sitio donde tendrá lugar la auditoría

• Con el objeto de

• Aclarar el alcance y el objetivo de la auditoría.

• Convenir los procedimientos que deben adoptarse durante la auditoría.

• Resolver los malos entendidos.


Programa de auditoría

• El auditor hubiere recibido un ejemplar de su manual SGSI.

• Este manual contiene el proceso dentro del Sistema de Gestión de la Información de la organización y la interacción del proceso descrito.

• A partir de este documento el líder del equipo de auditores deberá elaborar un programa de auditoría, detallando el departamento/proceso a ser auditado y en qué día y a qué hora.

• El programa también identificará al auditor asignado a cada departamento/proceso.


Preparación de checklists

• La compañía que conduce la auditoría por lo general define el formato de la lista de verificación.

• Ejemplo

• Área auditada Ventas – Proceso de solicitudes de pedidos

• Revisar: Elaboración de una solicitud de pedidos.

• Buscar: Productos que se incluyan.

• Buscar: Justificación de algún producto que no se incluya.

• Buscar: Registros de revisión de los productos.

• Buscar: Registros que autoricen la aceptación de los pedidos.


Preparación de checklists

• Un buena guía para la preparación de las listas de verificación es pensar en términos de “qué revisar” y “qué buscar”. Se podría revisar

• Métodos de identificación, aprobaciones, etc.

• Documentos, registros, producto o equipo para determinar si se aprobaron, si la documentación está completa y concluir sobre su condición.

• Sistema de auditorías internas y buscar documentos de sus autoridad, capacitación de los auditores, medidas oportunas sobre los hallazgos, seguimiento, etc.


Ventajas del uso de checklists

• Es una muestra relevante a los objetivos de auditoría.

• Formalidad, define el procedimiento de auditoría.

• Requiere de investigación.

• Ayuda a mantener el ritmo de la auditoría.

• Mantiene claros los objetivos de la auditoría.

• Referencia histórica como registro de auditoría (reporte).

• Reduce la carga de trabajo del auditor durante la auditoría.

• Le asegura al auditado el profesionalismo del auditor.

• Asegura que los auditores tengan el proceso en mente.


Desventajas

• Puede convertirse en un recordatorio.

• Llenas de preguntas que se contestan con un sí/no.

• Si hay algo que no se haya incluido en la lista de verificación no se revisa

• Trunca la iniciativa y el análisis del proceso


Actividades de la auditoría

• La realización de auditoría se conforma de varios eventos diferentes y se tratará cada uno de ellos por separado:

• Junta de apertura.

• Conducción de la auditoría.

• Registro de los hallazgos positivos y negativos.

• Planeación de la junta de cierre.

• Junta de cierre.


Junta de apertura

• Se conoce como referencia previa a la auditoría o junta inicial, por lo general se realiza en el lugar dónde se llevará a cabo la auditoría.

• El equipo de auditoría esta preparado con la agenda donde

• Se asegura que se cubran todos los puntos necesarios de manera rápida y eficiente


Junta de apertura

• Presentación del personal

• El lider de auditoría presenta al equipo de auditoría y explica como estan organizados

• Revisión del programa de auditoría

• Se discute, desarrolla y acuerda con el auditado

• Se definen los guias

• Se definen los guias que acompañaran al equipo de auditoría durante el proceso

• Logistica

• Se busca cubrir todos los preparativos• El transporte, ropa especial, comida y oficina para los auditores. Se

deben confirmar las comidas• En las mismas instalaciones o una comida externa de poca duración.


Junta de apertura

• Aclaraciones

• Se realizan comentarios por parte de los auditados

• Métodos de reporte

• El lider explica como se documentan las no conformidades y como se presenta el reporte de auditoría

• Confidencialidad

• La auditoría tiene carácter confidencial para ambas partes. Lo mismo para cualquier información que pueda surgir antes, durante y después de la auditoría. Esta confidencialidad es obligatoria para los auditores de tercera parte.


Junta de apertura

• Restricciones

• A pesar de que cualquier restricción mayor por lo general se les indica a los auditores en la etapa de planeación, tal vez sea necesario confirmarlas y aclararlas en este momento.

• Estas restricciones incluyen áreas limpias/peligrosas a donde se tiene que usar ropa especial de protección.

• El líder del equipo debe de dejar en claro que la auditoría es una actividad de muestreo y está sujeta a esas limitaciones

• “Esta evaluación se basa en las muestras representativas y por lo tanto, es posible que existan no conformidades que no se hayan identificado”.

•


Conducción de la auditoría

• Intervienen las siguientes personas

• El líder del equipo y el otro auditor

• El guía

• El/la representante de la gerencia

• El personal de las áreas que se están auditando

• Los observadores que acompañan al grupo de auditoría (tal vez auditores en capacitación de la organización de los auditores o auditados o un auditor que audita al auditor)

• El/la intérprete (si la auditoría es en un país del cual los auditores no hablan el idioma


Control de auditoría

• Responsabilidad del lider de la auditoría

• El lider debe repasar el plan de auditoría en cada momento

• Se busca el respaldo en documentación para toda la evidencia obtenida verbalmente



• Toma de datos

• Se registra información para emitir un juicio informado en base a las notas que contengan hechos considerables

• Se reben tomar notas de las referencias de los documentos, comentarios (quién los dijo), preguntas relevantes, etc.

• Cada auditor determina el formato de las notas y el medio para tomarlas



• Entrevistas

• Se hace uso de las habilidades de comunicación del auditor

• Su principal fuente de información es la realización de preguntas

• Se debe entrevistar a la gente correcta

• La gente que tiene control sobre el aspecto del sistema que se esta auditando

• El entrevistado no debe de sentirse amenazado

• Con frecuencia el entrevistado no entiende una pregunta

• Al final el auditor debe agradecer a todos los auditados por su ayuda y tiempo

• No obstante si fue benéfico o no



• Verificación

• Los auditores revisan la forma en que se controlan los procesos del alcance

• Solo ellos determinan cuantas muestras tomar

• Las muestras son representativas y aleatorias• Las muestras pueden ser personas


Registro de hallazgos positivos y negativos

• A medida que procede la auditoría, pueden surgir situaciones donde los hechos indican que existe una falla ya sea de todo o parte del sistema

• ¿Qué es una no conformidad?

• Una condición adversa a la Seguridad de la Información

• Un incumplimiento de un requisito

• Condiciones de un contrato

• Norma SGSI

• Manual SGSI

• Procedimientos o instrucciones de trabajo



• Habrá una no conformidad por una de tres razones:

• El procedimiento escrito no cumple con los requisitos de la norma;

• El procedimiento escrito no se ha puesto en práctica en la forma descrita por el procedimiento;

• La práctica (lo que de hecho se hace) no es efectiva, es decir, no se produce el resultado requerido.

• La declaración de no conformidad debe estar en un formato que puedan entender tanto las personas en la auditoría como aquellos que no están en ella.



• Declaración de no conformidad debe incluir

• Observación exacta de los hechos

• Donde se encontró

• Qué fue lo que se encontró

• Por qué es una no conformidad

• Quién estuvo ahí

• Usar terminología local que entienda el auditado

• Ejemplo

• El procedimiento XXXX Control de documento versión 2.3.2 tenía como última fecha de revisión el 25 de enero de 2010, pero en la lista maestra XXXX versión 1.1.5 se encontraba registrada con fecha 15 de enero de 2010.



• La mayoría de los organismos de certificación clasifican las no conformidades como NO CONFORMIDAD MENOR o MAYOR, y tienen sus propios criterios definidos para cada una.



• NO CONFORMIDAD MAYOR – Una interrupción en el sistema de gestión para controlar eficazmente los procesos para los cuales se estableció

• Una situación donde se presente una duda importante respecto de la capacidad del sistema de gestión para lograr la política y objetivos de la organización.



• NO CONFORMIDAD MENOR – Un lapso simple identificado, que en sí no es conducente ya sea a productos o servicios suministrados no conformes, o presenten duda importante respecto de la capacidad del sistema de gestión para lograr la política y objetivos de la organización.


Planeación de junta de cierre

• Inmediatamente después de que se termina el proceso de auditoría se debe realizar una junta del equipo de auditoría

• Con el objetivo de que el líder del equipo pueda planear en detalle la junta de cierre y se asegure de que el equipo sepa lo que se va presentar a la compañía en forma de no conformidades y resumen

• Controla el líder del equipo.

• Solo está presente el equipo de auditoría.

• El equipo llena reportes de problemas/no conformidades.

• Revisión del equipo de todos los problemas/no conformidades.

• El líder del equipo elabora el reporte de auditoría.


Planeación de junta de cierre

• El líder del equipo también elabora una agenda para la junta de cierre

• Hace los arreglos, ya sea mediante un integrante del equipo o una guía, para que se entreguen copias de cada problema/no conformidad para que se entreguen a la dirección de la compañía en el momento oportuno.


Junta de cierre

• Es la junta de conclusión de la auditoría y es la presentación formal por parte del equipo de los hallazgos y conclusiones de la auditoría.

• En la medida en que la dirección del auditado comprenda los hallazgos y esté de acuerdo con los hechos que los rodean antes de que el equipo se retire, el líder del equipo y el equipo habrán cumplido con su tarea.


Preparar, aprobar y distribuir el informe de auditoría

• El reporte de una auditoría externa debe ofrecer un registro claro de los objetivos, alcance, hallazgos y conclusiones de la auditoría.

• Es el principal resultado del proceso de auditoría proceso el cual leerán y utilizarán personas que no estuvieron en la auditoría y que no tienen otra información sobre la misma.

• Debe ofrecer una imagen equilibrada de toda la auditoría, no sólo de las no conformidades encontradas.


Preparar, aprobar y distribuir el informe de auditoría

• Los siguientes son esencialmente puntos que deben abordarse en un reporte de auditoría:

• Nombres y cargos de los auditados

• Programa de auditoría

• No conformidades menores y mayores

• Sugerencias

• Aprobación


Conducir el seguimiento de la auditoría

• Las no conformidades se abordan mediante un plan de acción correctiva, que se somete a la aprobación del auditor

• El auditado debe garantizar que la acción correctiva sea efectiva y algún tipo de monitoreo (puede ser mediante verificaciones adicionales o mediante las auditorías internas propias de la compañía) para garantizar que las cosas continúen de esa forma.

• El auditor deberá revisar su plan contra los hallazgos de la auditoría y las no conformidades escritas.

• Podría tardarse hasta 28 días después de la auditoría recibir el reporte.


Conducir el seguimiento de la auditoría

• Un resumen del proceso de seguimiento es el siguiente:

• Identificación de no conformidades encontradas durante la auditoría;

• Elaboración de reporte resumido;

• Petición de acción correctiva emitida;

• El auditor evalúa la respuesta a la acción correctiva;

• Realización de la acción correctiva por parte del auditado;

• Evaluación de la efectividad por parte del auditado;

• Verificación de realización por parte del auditor;

• Escalamiento (en su caso);

• Registros de cada etapa en este proceso.


Accion correctiva• La responsabilidad del auditor es dejarle claro al auditado que es

necesario tomar acción correctiva.

• El auditor rara vez especifica la acción correctiva; esa es tarea del auditado. El auditado debe proponer la acción correctiva.

• Las características esenciales de la acción correctiva son las siguientes:

• Identificación de la no conformidad;

• Establecer responsabilidad para controlar el proceso pertinente;

• Recopilar datos para establecer la causa raíz para la no conformidad;

• Analizar los datos y establecer acciones correctivas y preventivas;

• Monitorear la efectividad de esta acción, incluyendo auditoría interna;

• Revisar la acción si no es eficaz;

• Registrar todas las acciones tomadas;

• Enmendar según sea necesario la documentación del sistema.

Subdirección de Seguridad de la Información

Gracias

Documents

Auditoría de Seguridad Informática