"El conocimiento es la única riqueza de la que no pueden despojarnos los tiranos."
CONTENIDO PROGRAMATICO:
CAPITULO 1: CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS Y CONTROL
Introducción
Objetivos
Concepto
Diseño de Controles
Evaluación
CAPITULO 2: POLITICAS DE SEGURIDAD INFORMATICA
Introducción
Objetivos
Etapas en el Diseño e Implementación de una Política de Seguridad
Mercadeo del Proyecto
Inventario y Calificación
Análisis de Amenazas
Política de Seguridad Informática
Plan de Implementación
Plan de Auditoría y Retroalimentación
Conclusiones
Evaluación
CAPITULO 3: AUDITORIA A SISTEMAS EN AMBIENTES INTERNET
Introducción
Objetivos
Componentes en Ambientes Internet
Riesgos asociados a estos ambientes
Vulnerabilidades de Seguridad en Internet más Criticas
Posibles Infractores
Ataques
Herramientas Usadas
Evaluación de Seguridad
Evaluación
DESARROLLO DEL CONTENIDO PROGRAMATICO:
CAPITULO 1:
INTRODUCCION:
A continuación revisaremos a fondo el concepto de auditoria de sistemas y lo importante que es para mantener el control y la seguridad en los sistemas de información, y lo eficiente que es cuando se aplica de la mejor manera.
OBJETIVOS:
CONCEPTO:
Es una función de la auditoria que:
· Determine (evalúa), verifica (evidencias) y diseña los controles en las actividades y recursos de cómputos de las empresas.
· Promueve la automatización de las diferentes modalidades de la auditoria.
DISEÑO DE CONTROLES:
· Identificación de riesgos
· Selección de riesgos críticos
· Evaluar las implicaciones de costos, eficiencia, etc., si se decide controlar
· La administración decide: Asume el riesgo o controla la operación
· Se diseña los controles detallados para aquellos riesgos que se decide controlar
· Análisis de efectividad de controles
· Análisis de eficiencia
· Selección de controles
· Definir el punto más adecuado de implantación. La búsqueda del autocontrol, exige los controles se involucren lo mas natural posible dentro de los procesos. Deben ser procedimientos que interfieran lo menos posibles en las normales actividades, es mas, se deben convertir en formas de actuar
· Diseñar procedimiento detallado de ejecución del control
· Documentación. Garantizan el mantenimiento permanente de los controles implantados
EVALUACION:
- Defina con sus propias palabras auditoria de sistemas.
- Segun los objetivos de la auditoria de sistemas, creee que es necesario la implentacion en una empresa para su sistema de informacion.
- Identifique un problema en auditoria de sistemas y aplique el diseño de controles.
CAPITULO 2:
INTRODUCCION:
La Política de Seguridad como el grupo de reglas y regulaciones que dicta cómo una organización protege, maneja y distribuye información sensible. En la práctica, es usual que la referencia a este término se haga teniendo en mente unas cuantas directrices sobre claves de acceso y respaldo de información. Pero las Políticas de Seguridad se deben enfocar desde una perspectiva de mayor importancia, pues son pieza fundamental en el proyecto de plan de seguridad de una instalación.
OBJETIVOS:
· La continuidad de las operaciones.
· La confidencialidad y privacidad de la información manejada.
· La confiabilidad y exactitud el sistema
· La seguridad física.
ETAPAS EN EL DISEÑO E IMPLEMENTACIÓN DE UNA POLÍTICA DE SEGURIDAD:
Como se muestra en la siguiente segura, el diseñar una Política de Seguridad para su posterior implementación no puede ser un acto caprichoso, de momento, de moda; es un proyecto completo que debe ser asumido con la mayor responsabilidad si se quiere lograr el efecto buscado. Cada una de estas etapas cumple papel importante en el exitoso final del proyecto.
MERCADEO DEL PROYECTO:
INVENTARIO Y CALIFICACIÓN:
Para saber que hay que proteger es necesario hacer un juicioso inventario de recursos informáticos (hardware, software y liveware), y de los servicios ofrecidos, donde se determine la importancia para la organización y el grado de criticidad de cada uno. En la siguiente figura se aprecian estos elementos.
ANÁLISIS DE AMENAZAS
En la siguiente figura se aprecian algunas de las posibilidades que se tienen de conocer los riesgos que se presentan para los diferentes recursos de la organización. 
POLÍTICAS DE SEGURIDAD INFORMÁTICA:
Después de los pasos previos y con los conocimientos ganados se procede a la construcción del documento formal que incluirá los diversos elementos y para lo cual se deben tener en cuenta los aspectos mostrados en la siguiente figura. Debe entenderse esta etapa como la del diseño de la Política de Seguridad y deben quedar especificados los diferentes componentes que cubrirá y la forma como se aplicará la misma.
La Política de Seguridad tiene dos propósitos centrales: Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a la seguridad asociada a los recursos de tecnología de Información T.I y dar las guías para actuar ante posibles amenazas y problemas presentados.
Terminado el diseño, se procede a la fase de construcción. La siguiente figura muestra a grandes rasgos las tareas que se deben realizar.
PLAN DE AUDITORÍA:
En un medio cambiante y en especial en las nuevas tecnologías informáticas y de comunicación, no ha pasado mucho tiempo sin que las condiciones varíen, esto puede llevar a nuevos riesgos y debe actuarse proactivamente para lograr los sistemas autocontrolados que tanto se pregonan. La labor de auditoría entendida como la evaluación y análisis de esa realidad, en forma critica, objetiva e independiente, con el objeto de evaluar el grado de protección que presenta una instalación ante las amenazas a que está expuesta; es parte importante del diseño e implantación de Políticas de Seguridad. No basta con diseñar buenas políticas es necesario llevarlas a la práctica en forma correcta y garantizar que se adecuan a nuevas condiciones.
RETROALIMENTACIÓN:
La implementación de Políticas de Seguridad, genera diferentes situaciones en los negocios lo que obliga al manformacintenimiento constante. Los cambios deben iniciarse con un nuevo análisis de riesgos en el sistema de ión o detectados en la labor de auditoría.
CONCLUSIONES:
La Política de Seguridad es una herramienta de gran valor para enfrentar el Plan de Seguridad de una instalación y debe entenderse como un proceso integral que parte de la situación real y se construye teniendo en cuenta los recursos y riesgos a que esta expuesta la organización, convirtiéndola en una línea guía de operación y actuación para proteger los activos y garantizar la continuidad y calidad de los servicios ofrecidos.
EVALUACION:
- Implemente los pasos de las etapas para un problema de seguridad en un sistema de informacion.
INTRODUCCION:
Junto con la popularidad de Internet y la explosión de usuarios en todo el mundo, ha venido una creciente amenaza de ataques hacia los sistemas y la información de las organizaciones públicas y privadas.Es importante tener en cuenta algunas características que presenta los sistemas de información actuales:
- Gran Importancia de la Información- Mayor conocimiento de los usuarios sobre estos sistemas- Gran avance de los sistemas de comunicación y redes- Internet como medio global de intercambio de información y plataforma de negocios.- Cuando se realizan negocios por Internet (Comercio electrónico) se tienen cuatro piedras angulares:- Impedir transacciones de datos no autorizados. - Impedir alteración de Mensajes después de envío - Capacidad determinar si transmisión es desde fuente auténtica o suplantada- Manera de impedir a un emisor, que se está haciendo pasar por otro
Internet crea todas las posibilidades para hacer frágil la seguridad en el sistema: Tiempo de exposición, protocolos conocidos, usuarios "expertos" y la mezcla e igualdad de sistemas.
COMPONENTES EN AMBIENTES INTERNET:
· Navegador o Browser.
· Servidor Web
· Servidor de Servicios Internet (ISP)
· Enrutadores
· Puntos de Acceso a la Red
· Enlace Usuario – ISP
· Protocolo HTTP
· Protocolos TCP/IP
· HTML
· Código Móvil: ASP, Servlets, Applets, CGI...
· Protocolos seguros: http-S, SSL.
RIESGOS ASOCIADOS A ESTOS AMBIENTES:
Gran parte de los problemas asociados a Internet están relacionados por un lado, con la seguridad misma de los protocolos que lo conforman y por el otro por la disponibilidad del sistema en tiempo y espacio para que sea examinado y eventualmente atacado. En general estos riesgos los podemos resumir en:
- Acceso no Autorizado al Sistema.
- Divulgación de información confidencial.
- Robo o alterar información de la empresa.
- Denegación de Servicio- Espionaje o alteración de mensajes
- Transacciones fraudulentas.
- Modificación o sabotaje de Sitios Web, generando pérdida de la imagen corporativa.
- Pérdida de recursos- Uso del sistema vulnerado para realizar ataques a otros sistemas
- Virus, gusanos y troyanos.- Instalación y uso de código malicioso
VULNERABILIDADES DE SEGURIDAD EN INTERNET MÁS CRITICAS:
La mayor parte de los ataques en Internet, se realizan sobre un pequeño número de vulnerabilidades en los sistemas y aprovechando que las organizaciones pasan por alto las revisiones constantes de los problemas detectados en las versiones de sus productos y por lo tanto no hacen las correcciones del caso. El Instituto Sans emite un informe sobre las mas criticas de estas vulnerabilidades (SAN00).
- Debilidades en los servidores de Nombres de Dominio (DNS), en particular BIND.
Soluciones:
Desactivarlo en caso de no ser necesario.Descargar y actualizar a las ultimas versiones
- Debilidades asociadas con programas CGI en los servidores, generalmente por uso de CGIs desconocidos
Soluciones:
Uso de programas conocidosDeshabilitar el soporte CGI, para aquellos servidores que no lo necesiten
- Problemas con llamadas a procedimientos remotos RPC
Solución: Deshabilitar en los casos que sea posible servicios que usen RPC en sistemas expuestos a Internet.
- Agujeros de seguridad en Servidores Web (Especialmente IIS)
Solución: Actualizar desde sitio del fabricante y configurar según procedimiento recomendado.
- Debilidad en desbordamiento de Buffer en SendMail
Solución: No usar la modalidad deamon en sistemas que no sean servidores de correo.Actualización a última versión parcheada.
- Problemas con compartición de archivos (NetBios, NFS)
Soluciones:
Verificar que solo se comparten los directorios requeridosEn lo posible compartir solo con direcciones IP especificasUsar contraseñas para definir nivel de accesoBloquear las conexiones entrantes al servicio de sesión NetBios
- Contraseñas inapropiadas
Solución: Crear una política de contraseñas exigente
- Configuraciones inapropiadas de Protocolos de correo
Soluciones:
Deshabilitar estos en aquellas maquinas que no son servidores de correo.Utilizar versiones actualizadas.Usar canales encriptados como SSH y SSL
- Nombres de comunidad por defecto en SNMP (Public, private)
Soluciones:
Si no se usa SNMP deshabilitarloSi se usa, usar políticas de seguridad fuertesUsar solo los elementos requeridos y con las configuraciones necesarias.
POSIBLES INFRACTORES:
Crackers
Hackers
Vándalos
Empleados
Algunas definiciones que vale la pena traer son:
Hacking. Entrar en forma ilegal y sin el consentimiento del propietario en su sistema informático. No conlleva la destrucción de datos ni la instalación de virus. También se puede definir como cualquier acción encaminada a conseguir la intrusión en un sistema (ingeniería social, caballos de troya, etc.)
Cracker. Un individuo que se dedica a eliminar las protecciones lógicas y físicas del software. Normalmente muy ligado al pirata informático puede ser un hacker criminal o un hacker que daña el sistema en el que intenta penetrar.
Crackeador o crack: Son programas que se utilizan para desproteger o sacar los passwords de programas comerciales. Pudiendo utilizarse éstos como si se hubiera comprado la licencia. Quienes los distribuyen son altamente perseguido por las entidades que protegen los productores de software.Entre las variantes de crackers maliciosos están los que realizan Carding (Tarjeteo, uso ilegal de tarjetas de crédito), Trashing (Basureo, obtención de información en cubos de basura, tal como números de tarjetas de crédito, contraseñas, directorios o recibos) y Phreaking o Foning (uso ilegal de las redes telefónicas).
ATAQUES:
- Ataques a Contraseñas.
- Consecución de direcciones IP
- Scaneo de puertos- Código Dañino
- Captura y análisis de trafico.
- Denegación del Servicio (DOS).
- IP Spoofing (Modificación del campo de dirección origen de los paquetes IP, por la que se desea suplantar)
HERRAMIENTAS USADAS:
Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios: Defectos en el software, que permiten la intrusión o generan fallas graves en el funcionamiento.
Scaneo de Puertos: Siendo una herramienta que apoya la seguridad puede ser utilizada en contra de ella. Permite conocer el estado de los puertos asociados con los servicios disponibles en la instalación.
Sniffer: Es un programa que intercepta la información que transita por una red. Sniffing es espiar y obtener la información que circula por la red. Coloca la interfaz en modo promiscuo y captura el tráfico. Su misión para los ataques es fisgonear la red en busca de claves o puertos abiertos.
Troyanos: Programas que simulan ser otros para así atacar el sistema.
Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un sistema que consiste en probar distintas contraseñas hasta encontrar la adecuada.
Ingeniería Social: Es una técnica por la cual se convence a alguien, por diversos medios, de que proporcione información útil para hackear o para beneficiarnos. Requiere grandes dosis de psicología. Explota la tendencia de la gente a confiar en sus semejantes.
Basureo o Trashing: Recoger basura. Se trata de buscar en la basura (física o informática) información que pueda ser útil para hackear.
Ping: Ubicar equipos conectados.
Traceroute: Ver la ruta de paquetes y enrutadores en la red
Spams: No es un código dañino, pero si bastante molesto. Es un programa que ejecuta una orden repetidas veces. Ampliamente utilizado por empresas de marketing usando el correo electrónico para enviar sus mensajes en forma exagerada.
EVALUACIÓN DE SEGURIDAD:
El auditor debe verificar que se tengan presenten y se implementen medidas que a partir de los riesgos planteados y dada la importancia del sistema para la organización minimicen las amenazas.
Medidas de Control
- Conocimiento de los riesgos a que esta expuesta la instalación en particular.
- Conocimiento y corrección o "parcheo" de los problemas detectados y/o reportados en versiones de - Sistemas Operativos y Servicios implementados. Este mecanismo parte de la instalación inicial.
- Concientización de los usuarios de los riesgos a que esta expuesta la instalación y el papel de cada uno en la protección. El 99% de los ataques se realizan apoyándose en fallas al interior de la organización.
- Implementación de políticas de seguridad en sistemas operativos.- Auditoria y monitoreo a trafico, accesos y cambios en el sistema.- Uso de sniffer y scanner para conocer el estado del sistema.
- Montaje de Firewall (Muro de Protección): Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red hacia y/o desde un sistema determinado. Se ubica entre la red privada e Internet. Pueden ser enrutadores de filtración de paquetes o gateways de aplicaciones basados en proxy.
Utilización de herramientas para Detección de Intrusos (IDS)
Uso de protocolos seguros como SSL y HTTP-S
Requerimientos de certificados de autenticación en los casos de operaciones de alta importancia.A nivel de la empresa en lo posible, tener los datos de importancia en zonas protegidas o fuera del acceso desde Internet.Encriptación de los datos sensitivos.Evaluar que los usuarios usan solo los servicios requeridos para su labor y que no exponen la seguridad con el uso de IRC, P2P, etc.Se debe considerar la posibilidad de apoyarse en Hacking Etico para evaluar la seguridad del sistema.
