C6_Control, Seguridad y Auditoria
Capitulo N° 6 Control, Seguridad y Auditoria Versión: 0 Materia: Tecnología de la Información Código: 275 Cátedra: Gui
Views 68 Downloads 0 File size 891KB
Recommend stories
- Author / Uploaded
- tontocomounaroca
Citation preview
Capitulo N° 6 Control, Seguridad y Auditoria Versión: 0
Materia: Tecnología de la Información Código: 275
Cátedra: Guillermo Tricoci
Universidad de Buenos Aires Facultad de Ciencias Económicas
Autores: Revisores:
Alex Flores, Ana Vidal
Contenido CAPITULO 6: “Control, Seguridad y Auditoria” .................................................... 3 Introducción .......................................................................................... 3 Objetivos de la Seguridad informática ........................................................... 3 RIESGOS .................................................................................................. 3 Amenaza: ........................................................................................... 4 Vulnerabilidades: ................................................................................. 4 Origen de las amenazas: ......................................................................... 4 Tipos de amenazas ................................................................................ 4 Ejemplos de Amenazas y vulnerabilidades.......................................................... 6 Ejemplo 1 .......................................................................................... 6 Ejemplo 2 .......................................................................................... 6 Ejemplo 3 .......................................................................................... 6 Ejemplo 4 .......................................................................................... 7 Ejemplo 5 .......................................................................................... 7 Medición del Riesgo .................................................................................... 7 CONTROLES .............................................................................................. 9 TIPOS DE CONTROLES ............................................................................... 9 Controles Generales: ............................................................................. 9 Controles de Aplicación: ......................................................................... 9 Controles generales ................................................................................ 10 Controles de Aplicación ............................................................................ 10 ¿Qué medidas implementar para las amenazas existentes? .................................. 11 Ejemplo de medidas Activas .................................................................... 11 Ejemplo de medidas Pasivas .................................................................... 11 Auditoría de Sistemas ................................................................................. 13 REVISION DE PROCESOS DE TI ........................................................................ 14 Bibliografia ...........................................................¡Error! Marcador no definido.
Página | 2
CAPITULO 6: Auditoria” Introducción
“Control,
Seguridad
y
Hoy en día la informática tiene un alto grado de integración con nuestra vida tanto en lo cotidiano, doméstico, como en lo organizacional, es por ello que cualquier incidente nos puede resultar catastrófico. Esto sumado a la cantidad de usuarios mal intencionados que intentan tener acceso a los datos de nuestros sistemas, nos hace preguntar. ¿Qué tan seguros son nuestros sistemas de Información? Es por ello que surge un nuevo concepto, la seguridad Informática.
La Seguridad Informática es un conjunto de medidas preventivas y detectivas destinadas a preservar la Integridad, Disponibilidad y Confidencialidad de la INFORMACION y RECURSOS INFORMATICOS
Objetivos de la Seguridad informática Confidencialidad: La información almacenada en los recursos informáticos solo debe ser accedida por las personas autorizadas. Disponibilidad: La información debe estar disponible cuando la requiera el usuario de la misma. Integridad: La información almacenada en los sistemas de información debe permanecer inalterable en el mismo, salvo que sea modificada por los usuarios autorizados.
RIESGOS Antes de poder abordar una definición de riesgos debemos tener en claro 2 conceptos:
Página | 3
Amenaza: evento o acción que afecte el normal funcionamiento de los sistemas y/o procesos. Vulnerabilidades: debilidades inherentes a los sistemas y procesos bajo análisis que facilitarían a un atacante violar la confidencialidad, integridad y disponibilidad de los sistemas tantos los datos incluidos en los mismos como los programas que dan soporte y uso de ellos.
Los Riesgos son amenazas que de materializarse a través de la explotación de las vulnerabilidades, pueden atentar contra la seguridad de los recursos e información de las Organizaciones. Ante la falta de control de las vulnerabilidades se acrecientan las posibilidades de que las amenazas se materialicen.
Origen de las amenazas: Factores técnicos. Factores de organización. Factores del entorno. Combinados con malas decisiones gerenciales o la falta de decisión.
Tipos de amenazas Físicas Son las relacionadas con los daños o errores sobre el hardware que por su origen podemos clasificarlas de la siguiente forma: 1. 2. 3. 4.
Desastres naturales, incendios accidentales, tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. Fallas en los equipos físicos (hardware).
Lógicas: Las amenazas lógicas están relacionadas con fallas en los software o aplicativos, y pueden darse a causa de: 1. Software incorrecto. 2. Mal uso de herramientas de seguridad. 3. Puertas traseras, fallos en las conexiones que permiten obtener control remoto de un equipo. 4. Virus, pueden destruir, alterar información, disminuir las performance del sistema de cómputo hasta inutilizarlo.
Página | 4
5. Bugs, deficiencias en la construcción de software, permiten mediante su explotación interrumpir el funcionamiento del mismo inhabilitándolo temporal o permanentemente. 6. Gusanos. Programas que pueden ejecutarse y propagarse a través de redes de datos. 7. Troyanos, son ejecuciones de programas encubiertos con otros software que permiten ocultar la presencia del atacante y/o para asegurase la entrada en caso de ser descubierto. 8. Y otras como Spoofing, spam, phishing, etc En los siguientes links podemos ver en tiempo real distintas técnicas utilizadas por hackers (Personas con capacidad de poder explorar vulnerabilidades de los sistemas con fines de lucro, daño, protesta o desafío). http://map.norsecorp.com/
https://cybermap.kaspersky.com/
Página | 5
Ejemplos de Amenazas y vulnerabilidades Ejemplo 1
IV. V.
Amenaza: Desastre natural o siniestro que dañen o destruyan el Centro de Datos o los recursos informáticos en forma parcial o total. Vulnerabilidad: I. Centro de Datos ubicado en zonas inundables sin recaudos que prevengan el daño de recursos informáticos. II. Centro de datos construido sin materiales ignífugos que prevengan o detengan la propagación del fuego en caso de incendios. III. Falta de mecanismos de detección y extinción de incendios o con inadecuado funcionamiento. Personal de administración y mantenimiento del centro de datos que no está debidamente capacitado para realizar sus tareas. Mala ubicación del centro de datos dentro de la organización, por ejemplo cercano a las calderas. VI. Falta de plan de contingencia que ante siniestros establezcan un adecuado procedimiento para salvaguardar los recursos informáticos y permitir la continuidad de operación del Centro de Datos.
Ejemplo 2 Amenaza: Manipulación inadecuada de datos. Vulnerabilidad: a. Mecanismo de protección de datos críticos inadecuados. b. Utilización de datos de entornos de datos productivos para realización de pruebas i. Cargas y/o actualización masiva de datos ejecutadas en forma errónea o no autorizada. c. Falta de procedimiento que aseguren la confidencialidad o divulgación de los datos almacenados. d. Políticas de backups inadecuadas, prioridad de realización (oportunidad), tipo de backup (completo, diferencial y incremental), disponibilidad y ubicación de los resguardos, y comprobación de los resguardos.
Ejemplo 3 Amenaza: Robo o divulgación de credenciales. Vulnerabilidades: I. Falta de políticas de contraseñas de usuario, exigencia de usar contraseña, durabilidad, renovación, revocación y complejidad de la misma. II. Existencia de cuentas de usuario anónimas y/o genéricas Página | 6
III. IV. V.
VI.
VII.
Contraseñas almacenadas en sitios inseguros. Mecanismos de autenticación inexistentes o implementados inadecuadamente. Falta de concientización de usuarios sobre aspectos de seguridad en el uso/ conservación de sus contraseñas. El personal que administra la seguridad no está debidamente capacitado para desarrollar sus tareas. Contraseñas entregadas a personas que no resultan ser responsables de la cuenta de usuario
Ejemplo 4 Amenaza: Nuevos desarrollos y/o cambios sobre el sistema inadecuados. Vulnerabilidad: I. Inoportuna detección de fallas en los desarrollos efectuados. II. Los desarrollos no se ajustan con lo requerido por el negocio. III. Los desarrollos y/o las pruebas son efectuadas sobre el entorno de Producción. IV. Implementación de cambios y/o nuevos desarrollos que no fueron testeados ni aprobados. V. Imposibilidad de volver a la versión anterior de la aplicación tras una implementación errónea.
Ejemplo 5 Amenaza: Intrusión de virus y/o software malicioso Vulnerabilidades: I. Ausencia de software antivirus. II. Actualizaciones del software antivirus inadecuadas o inoportunas. III. Redundancia de hardware de contingencia inexistente o implementado inadecuadamente. IV. Errores y/o demoras considerables durante la restauración de los servicios informáticos.
Medición del Riesgo El riesgo es la probabilidad de que se materialice una amenaza. Para determinar cuál es esa probabilidad en cada caso, el análisis de riesgos supone: 1. Determinar las amenazas a las cuales están expuestas los sistemas. 2. Cuantificar su probabilidad de ocurrencia. 3. Cuantificar el riesgo económico involucrado ($/u$s) si la amenaza se concreta. En el siguiente cuadro podemos analizar cuál es el nivel de riesgo correspondiente a cada amenaza bajo análisis
Página | 7
Impacto
Probabilidad Ejemplo: Tenemos un Data Center de una cadena de supermercados que al momento de su construcción se encontraba ubicado en una zona sin historial de fallas de eléctricas y el mismo se construyó con sistemas redundantes de alimentación, que ante un corte de eléctrico permitía funcionar durante aproximadamente 2 horas más. Además este Data Center albergaría todos los sistemas de la organización incluyendo los de facturación. Haciendo un breve relevamiento hoy en día detectamos que debido deficiencias en la red de infraestructura eléctrica pública, la zona donde está ubicado el Data Center se encuentra expuesto, en épocas estivales, a cortes eléctricos de más 24 horas. Y como consecuencia se genera la imposibilidad de la cadena de supermercado de facturar, generando importantes pérdidas de dinero y descontento por parte de los clientes antes estas situaciones. Al hacer un análisis podemos determinar que la probabilidad de ocurrencia de que esta amenaza se materialice es alta y el impacto económico también es alto, debido a la pérdida económica generada por la imposibilidad de facturar. Con lo cual nuestro nivel de riesgo es alto para la amenaza asociada:
RIESGO ALTO
Impacto
Probabilidad
Página | 8
CONTROLES Los controles son Acciones/Medidas (preventivas o detectivas) destinadas a minimizar el impacto que puede tener un riesgo o reducir la probabilidad de ocurrencia del mismo. También se los puede definir como un conjunto de métodos, políticas y procedimientos organizacionales que resguardan los activos de la organización, hacen exactos y fiables a los sistemas de información, y cumplen con las normas gerenciales. Los controles los podemos clasificar por su naturaleza en manuales y automáticos. Los controles manuales son ejecutados por el personal informático sin el uso de herramientas informáticas. Y los controles automáticos son los incorporados dentro del software, pueden ser comunicación, operación, aplicación, base datos, etc. Por su oportunidad podemos clasificar los controles en preventivos, destinados a disminuir la probabilidad de ocurrencia del evento o anularlo y los controles detectivos, se diseñan e implementan para descubrir un evento, irregularidad o un resultado no previsto. Alertan y permiten que otros tomen medidas inmediatas.
Controles Preventivos
Controles Detectivos
TIPOS DE CONTROLES Controles Generales: Controles amplios que monitorean el funcionamiento eficaz de los procedimientos programados en todas las Áreas de aplicación. Los controles generales son aquellos que están incrustados en los procesos y servicios de TI. Algunos ejemplos son: Desarrollo de sistemas, Administración de cambios, Seguridad, etc.
Controles de Aplicación: Controles específicos y exclusivos de cada una de las aplicaciones computarizadas. Página | 9
Los controles incluidos en las aplicaciones del proceso de negocios, se conocen por lo general, como controles de aplicación. Ejemplos: Integridad (Completitud), Precisión, Validez, Autorización, Segregación de funciones, etc.
Controles generales Controles Generales Control de implementación
Descripción Audita el proceso de desarrollo de sistemas para asegurar que siga las pautas de calidad para el desarrollo, conversiones y pruebas. Control de software Monitorea el uso del software de los sistemas y evita el acceso no autorizado los programas de aplicación y al software de sistema. Control de Hardware Cuida que el equipo esté protegido físicamente contra incendios y temperatura o humedad extremos. Debe garantizar la continuidad operativa ante desastres, implementando respaldos tanto de hardware como de datos. Control de Operaciones de Ejercido sobre la labor del centro de cómputos. Computación Garantiza que los procedimientos programados se apliquen de forma congruente y correcta al almacenamiento y procesamiento de datos. Control de Seguridad de los Garantiza que los archivos de datos de negocios no datos sufran accesos no autorizados, alteraciones o destrucción. Control Administrativo Normas, reglas, procedimientos y disciplinas de control formalizados. Asegura que los controles generales y de aplicación de la organización se apliquen y cumplan debidamente.
Controles de Aplicación Controles de Aplicación Control de Entrada
Control de Procesamiento
Control de Salida
Descripción Verifica la exactitud e integridad de los datos cuando entran en el sistema. Son controles para evitar errores en las entradas, conversiones y/o ediciones de datos. Es posible establecer totales de control. Determina si los datos están completos y son exactos durante la actualización. Se pueden establecer totales de control de serie, el cotejo por computadora y verificaciones de edición. Monitorea que los resultados del procesamiento sean correctos, estén completos y se distribuyan debidamente.
Página | 10
¿Qué medidas implementar para las amenazas existentes? Podemos clasificar estas medidas en activas o pasivas. Son medidas activas todas aquellas que se toman para evitar, anular o reducir los riesgo sobre un sistema. Y son medidas pasivas aquellas que se toman para estar preparado si alguna amenaza llegara a materializarse. Ejemplo de medidas Activas Control de Acceso Físico a los distintos sectores de la organización o áreas de sistemas, mediante cámaras de seguridad, lectores de tarjetas de acceso o técnicas biométricas como lectores de huellas, si bien son medidas más costosas y complejas, también podemos tener controles mediante el registro y control de acceso a distintas áreas por parte de personal correspondiente a la función. Control de Acceso a los datos. Podemos enumerar: -
Firewall, sistema que permite controlar el tráfico de red dentro de la organización y la organización con el mundo exterior permitiendo solo el tráfico autorizado.
-
Políticas de contraseñas que establezcan reglas de no divulgación, complejidad y de renovación.
-
Políticas de perfiles de usuario que incluyan la identificación y autorización de acceso a los recursos.
-
VPN, trafico seguro de la organización utilizando canales de comunicación púbicos.
Programas Antivirus. Detección de amenaza de software externas para proteger los medios de almacenamientos. Plan de Adquisición y desarrollo software bajo estricto control de estándares de calidad requeridos para cada tipo de organización. Plan de Adquisición de hardware bajo estricto control de calidad para las necesidades de la organización.
Ejemplo de medidas Pasivas Plan de Contingencias o Desastres. Es un conjunto de disposiciones que contempla todas las medidas de recuperación y actuación del personal afectado ante una emergencia. Estas tareas requieren una identificación de funciones críticas y vitales de los sistemas de la organización que se necesitan recuperar
Página | 11
inmediatamente tras la ocurrencia de estos eventos para mantener la operatoria de la organización. Política de Backup sobre equipos que incluya: o Que se debe hacer backup (datos o sistemas) ordenados por criticidad o Periodicidad de los backup (diaria, semanal, mensual, etc) o Tipo de backup Completo: copia completa de todos los datos o sistema, la primer copia siempre debe ser completa. Incremental: se copian solo los archivos modificados o creados desde la última copia completa o incremental. Diferencial se copian todos los archivos creados o modificados desde la última copia completa. o Cantidad de copias y ubicación de los resguardos o Entorno y prueba de los resguardos generados. Criptografía de mensajes y archivos (cifrado, firma digital y certificado digital). Evita que el ladrón pueda utilizar la información extraída de los sistemas. Grupos electrógenos. Permite que ante los cortes eléctricos, la organización pueda continuar su operación normal y en caso de cortes prolongados, poder apagar todos los sistemas correctamente minimizando los errores físicos y lógicos que puede ocurrir sobre los recursos informáticos. UPS, sistema de alimentación ininterrumpida que minimiza los efectos sobre los recursos informáticos ante caídas de los sistemas eléctricos permitiendo a la organización soportar pequeños cortes y en caso de cortes prolongados detener en forma correcta los recursos informáticos minimizando el impacto sobre los mismos. Estabilizadores de tensión. Regulan la tensión eléctrica para que la oscilación de la misma no dañe físicamente los equipos. Contratación de seguros. Permiten ante daños en los equipos poder recuperar el costo del mismo y facilitar la recuperación de los recursos informáticos, sobre todo en los centros de datos debido a los altos costos de equipamiento. Log de transacciones o Pistas de Auditoria. Se utilizan para detectar irregularidad en el acceso a los sistemas, datos y/o fallas en los sistemas.
Sistemas tolerantes a fallos. Son sistemas que permiten, ante las distintas fallas de hardware, contener los eventos sobre el hardware sin interrumpir el normal funcionamiento de los sistemas de información. Estos sistemas se basan en la redundancia de hardware. 1. Fuentes de alimentación. Se duplican las fuentes de alimentación para que ante la falla o mantenimiento de una de ellas se mantenga la continuidad de la alimentación eléctrica sobre el equipo. 2. Redundant Arrays of Inexpensive Disks (Matrices redundantes de discos independientes de bajo costo) son un conjunto de discos programados para almacenar de manera redundante datos y proporcionar un mayor Página | 12
grado de confiabilidad. Los niveles de RAID más utilizados son 1, 5,6, 10, 50, etc. 3. Redundancia en interfaz de comunicaciones. 4. Servidores espejados. Duplicación de recursos.
Auditoría de Sistemas Antes de poder definir que es la auditoría de sistemas debemos tener en claro el concepto de Control Interno.
El control interno es el conjunto de tareas y funciones inherentes a la propia actividad de la organización que tratan de verificar que los procesos se realizan según lo establecido (la realización de los controles son parte de las tareas del proceso).
En cambio la Auditoría de Sistemas es el conjunto de acciones puntuales y ajenas a los procesos auditados, cuyo objetivo es identificar y probar el funcionamiento del esquema de control interno de las Organizaciones, incluyendo la revisión del cumplimiento de determinadas normativas y objetivos asociados. La Auditoría de Sistemas se ejerce sobre los procesos de tecnología informática (controles generales de TI) y/o sobre los sistemas de información (controles aplicativos).
Las tareas de la Auditoría son:
Entender los procesos de sistemas que se llevan a cabo en la Organización, asociar las amenazas y vulnerabilidades a las que se encuentran expuestos estos procesos y los sistemas informáticos, e identificar los controles que actualmente posee y/o debería poseer la Organización para mitigarlos. Página | 13
Analizar exhaustivamente el cumplimiento de todos los controles que rigen sobre los procesos de sistemas (controles generales de TI) y/ o sobre los sistemas de información (controles aplicativos). Enumerar las deficiencias y/o ausencias de control detectadas. Estimar la probabilidad de ocurrencia de las vulnerabilidades no controladas adecuadamente. Evaluar el impacto en las finanzas y en la Organización de dichas vulnerabilidades. Proponer tareas de control a implementar y/o mejoras en los controles que se efectúan.
Las técnicas posibles de utilizar en la auditoría son:
Entrevistas y revisión de documentación. Control del flujo completo de transacciones. Utilización de herramientas de auditoría automatizadas.
Normas aplicables de auditoría
Financiera: Banco Central de la República Argentina Seguros: Superintendencia de Seguros de la Nación SSN Comercios e Industrias: Normas ISO SEC, CNV, Mejores prácticas COSO, COBIT, ITIL. Normas Corporativas.
REVISION DE PROCESOS DE TI
Cuando revisamos los procesos de TI es importante entender el propósito, el objetivo del proceso y cómo está relacionado con la estrategia de negocios de la organización. Una vez que tenemos en claro cuál es el objetivo del proceso de negocios debemos identificar y evaluar todos riesgos asociados al proceso bajo análisis que puedan impedir que el objetivo de proceso no se cumpliese. Una vez identificados todos Página | 14
los riesgos, evaluamos los controles que son necesarios aplicar para poder mitigar los riesgos. Una vez implementados estos controles debemos evaluarlos para poder determinar su correcta ejecución o si es necesario ejecutar una revisión del mismo. A continuación enumeramos algunos de los controles TI que podemos realizar
Página | 15
Página | 16
Página | 17
Bibliografía
Cecyt Federación Argentina de Consejos Profesionales de Ciencias Económicas. Informe 6.
Cansler Leopoldo. Auditoría en contextos computarizados. Guía práctica profesional
Saroka, Raúl. .Sistemas de información en la era digital. Fundación OSDE 2002. Módulo II. Unidad 3 Ley 25506 de Firma Digital. Laudon Kenneth C. y Laudon Jane P.. Sistemas de Información Gerencial. Administración de la Empresa Digital. 10ma Edición. Editorial Pearson Prentice Hall. 2008. Capítulo 8 O’Brien James A., Marakas George M.. Sistemas de Información Gerencial. 7ma Edición. Editorial McGraw-Hill. 2006. Capítulo 13.
Página | 18