Auditoría Informática

¿Qué comprende la Auditoria de Seguridad de la información?

El término de Auditoria es empleado incorrectamente con frecuencia ya que se considera como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto de auditoria es mucho más amplio. Es un análisis crítico que se realiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de un departamento, un organismo, una entidad, etc.
Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de IT deben ser administrados por un conjunto de procesos de IT agrupados de forma tal de obtener un modelo de referencia a implementar.

El marco o Modelo de Referencia adoptado por nuestra firma para realizar los distintos tipos de auditorias están basados en los modelos y normas internacionales universalmente reconocidos: COBIT, ITIL, ISO, NFPA, IEEE, TIA.
Como el campo de acción de la Auditoria informática es muy amplio, efectuamos distintos tipos de auditorias con el fin de cubrirlo en su totalidad puntualizando y profundizando cada área, departamento, organización o proceso bajo estudio, adoptando el modelo de referencia o las normas que correspondan a cada caso en estudio.

1. Auditoria de Seguridad Informática ISO 17799
   
   1.1 - Auditoria de Seguridad Global
   1.2 - Auditoria de Seguridad del Centro de Computos
   1.3 - Auditoria de Seguridad de los Sistemas Operativos
   1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática
   1.5 - Test de Penetración e Intrusión (Ethical Hacking)
   
   
2. Auditoria de Aplicaciones
3. Auditoria de Desarrollo de Software
4. Auditoria Forense
5. Auditoria de Control Interno y Monitoreo
6. Auditoria de Adquisición e Implementación
7. Auditoria de Comunicaciones

1- Auditoria de Seguridad Informática ISO 17799

Cuando hablamos de seguridad la mayoría de las personas automáticamente asocian este termino frente a ataques externos a la empresa. Se limitan a investigar la seguridad en la periferia de la empresa, que tan vulnerable es la misma frente a ataques externos, ya sea por virus, hacking, phishing, etc.

El termino de Seguridad Informática es mas amplio y abarcativo, y así lo entienden las organizaciones internacionales de las cuales somos miembros, la seguridad interna es tanto o mas importante que la externa. No nos limitamos a asegurar el exterior sino que analizamos y auditamos la seguridad interna y externa.

Se estima que el 70% de los ataques que sufren las empresas provienen desde el interior de la misma.

La Seguridad de la Información basada en la norma ISO 17799, la podemos definir como la preservación de las siguientes características:

a) confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.
b) integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

La seguridad informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de los activos digitales, uso del software, protección de los datos, procesos, así como a los procedimientos, normas de orden y autorización de acceso de los usuarios a la información, etc.

Se elaboran "matrices de riesgo", en donde se consideran los factores críticos de éxito, las "Amenazas" a las que está sometida y los "Impactos" que aquellas puedan causar cuando se presentan.

La auditoria de Seguridad Informática podemos dividirla en:

1.1 - Auditoria de Seguridad Global , basados en las normas ISO 17799 – BS7799 – ISO 27001
1.2 - Auditoria de Seguridad del Centro de Cómputos (Data Centers)basados en las normas NFPA75, TIA 942.
1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red. (Vulnerability Assesment.)
1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática.
1.5 - Test de Penetración e Intrusión. (Ethical Hacking).

1.1 - Auditoria Informática de Seguridad Global , basados en las normas ISO 17799 – BS7799 – ISO 27001

La decisión de realizar una Auditoria Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida.
Es esencial para una organización identificar sus requerimientos en materia de seguridad. Existen tres recursos principales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios.

El tercer recurso es el conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

Con origen en la norma británica BS7799, la ISO 17799 es la especificación técnica de nivel internacional en materia de Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.

Cuando se ejecuta esta auditoria los trabajos se basan en los dominios y objetivos que dictamina dicha norma.

1.2 - Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en las normas NFPA75, TIA 942.

La auditoria de Seguridad de Centro de Cómputos (Data Centers) está basada en las normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer los requerimientos y las guías para el diseño e instalación de Centros de Cómputo (Data Centers). Se auditará la planificación de la ubicación, sistemas de cableado y diseño de la red, topología del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc.

TIA-942 permite que el diseño del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobre distintos esfuerzos en el área de diseño, promoviendo así la cooperación entre las fases de su construcción.

El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construcción con computadoras necesitando protección contra incendios y edificación, habitaciones, áreas, o ambientes operacionales especiales. La aplicación esta basada en consideraciones de riesgo tal como los aspectos de interrupción de negocio de la función o amenazas de fuego a la instalación.

1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red.(Vulnerability Assesment.)

Se analizarán y cuantificarán las vulnerabilidades encontradas en los sistemas operativos y componentes de red. Se estudiarán las políticas de seguridad implementadas, los responsables designados para el mantenimiento de los mismos. Se evaluará si los sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Se revisarán los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el desarrollador.

1.4 - Auditoria del Impacto de los Riesgos de la Seguridad Informática.

Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. La evaluación de riesgos es una consideración sistemática de los siguientes puntos:

a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos;
b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar y a determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos concernientes de la seguridad de la información, y para la implementación de los controles seleccionados a fin de brindar protección contra dichos riesgos.

Puede resultar necesario que el proceso de evaluación de riesgos y selección de controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de la organización o sistemas de información individuales.

Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los controles implementados a fin de:

a) reflejar los cambios en los requerimientos y prioridades de la empresa;
b) considerar nuevas amenazas y vulnerabilidades;
c) corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los resultados de evaluaciones anteriores y los niveles variables de riesgo que la gerencia está dispuesta a aceptar. Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de priorizar recursos en áreas de alto riesgo, y posteriormente en un nivel más detallado, con el objeto de abordar riesgos específicos.

1.5- Test de Penetración e Intrusión. (Ethical Hacking).

El Test de Penetración es un método de auditoria mediante el cual se evalúa la seguridad de los sistemas de protección perimetral de una empresa así como los diferentes sistemas que están accesibles desde Internet (routers exteriores, firewall, servidores web, de correo, de noticias, etc), intentando penetrar en ellos y de esta forma alcanzar zonas de la red de una empresa como puede ser la red interna o la DMZ.
Las metodologías en las que basamos nuestros trabajos son OpenSource OSSTMM e ISSAF.
Los aspectos relevados son:

• Estudio de la Red: Análisis de la red del cliente con el objetivo de obtener un mapa detallado de la misma.
• Escaneo de puertos e identificación de servicios: Análisis de las posibles vías de entrada a las máquinas contratadas identificando las características y servicios de las mismas. Se realiza un escaneo automático y manual (selectivo) de puertos sobre cada una de las IPs contratadas por el cliente.
• Test automático de vulnerabilidades: Utilizando tanto herramientas propias como externas se determinan los deficiencias de seguridad que existen en los sistemas analizados.
• Password cracking: Se intentan obtener cuentas de usuarios (login y password) del sistema analizado a través de herramientas automáticas utilizadas por los hackers. Se utilizan passwords por defecto del sistema, ataques por fuerza bruta, diccionarios de passwords, etc.
• Documentación Alcanzada: Recopilación de la mayor cantidad de información susceptible de ser utilizada para quebrar cualquiera de las protecciones de las que pudiera disponer la empresa. Utilizando toda la información que se encuentre accesible desde Internet: web corporativa y de los empleados, grupos de noticias, bases de datos de búsqueda de trabajo, etc.
• Test de los sistemas de confianza: El objetivo es encontrar vulnerabilidades en los sistemas analizando las relaciones de confianza o dependencias que existen entre ellos.
• Test de las medidas de contención: Comprueba la existencia de herramientas de contención y el nivel de defensa que ofrecen frente a la llegada de código malicioso (troyanos, ActiveX o applets dañinos, etc.).
• Test del sistema de detección de intrusos (IDS): Análisis de los IDS con la finalidad de estudiar su reacción al recibir múltiples y variados ataques. Análisis de los logs del IDS.

2- Auditoria de Aplicaciones

La Auditoria de Aplicaciones se basa en la observación y el análisis de cuatro grandes áreas:

1. Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se revisan las fases que presuntamente han debido seguir en el área correspondiente de Desarrollo:
   
   
   • Estudio de Viabilidad de la Aplicación.
   • Definición Lógica de la Aplicación. Se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto.
   • Desarrollo Técnico de la Aplicación. Se verificará que éste sea ordenado y correcto. Cuales fueron las herramientas y técnicas utilizadas en desarrollo de la aplicación.
   • Diseño del Sistema
   • Métodos de Pruebas (Testing). Se evaluara si existe un documento de testing y como fueron ejecutadas de acuerdo a las Normas adoptas.
   • Documentación.
   • Equipo de Programación.
     
     
3. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó.
4. Control de Procesos y Ejecuciones de Programas Críticos: Separación de ambientes. Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran pueden provocar, altos costos de mantenimiento, fraudes, acciones de sabotaje, espionaje industrial-informativo, etc. Se analizara si existe separación de ambientes, personal responsables de los mismos, etc.

3- Auditoria de Desarrollo de Software

Sintéticamente el desarrollo de software comprende las siguientes áreas:

• Análisis y Gestión de Requerimientos
• Documentación
• Análisis y Diseño
• Implementación
• Validación y Verificación (Testing)
• Control de la Configuración
• Proceso de Desarrollo de Software en general

Estas áreas deben estar sometidas a un exigente control interno, porque en caso contrario, además del aumento de los costos, se puede producir la insatisfacción del usuario.

4- Auditoria Forense

La auditoria forense es una metodología de estudio apta para el análisis a posteriori de incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados y se determinan los controles a implementar.

5- Auditoria de Control Interno y Monitoreo

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio también advierte a la Administración sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditorías internas y externas u obtenidas de fuentes alternativas.

6- Auditoria de Adquisición e Implementación

Las soluciones de IT deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida sea continuo para esos sistemas. Esta auditoria hace hincapié en el análisis del desarrollo de las etapas mencionadas anteriormente, al grado de cumplimiento y a la segregación de funciones que debe existir en la empresa para el aseguramiento del éxito en la misma.

7- Auditoria de Comunicaciones

El objetivo de esta auditoria es evaluar los sistemas de comunicaciones de la compañía analizando los índices de utilización de las líneas contratadas, trafico de la mismas, índices pactados en los contratos, etc. La empresa deberá contar con la topología de la Red de Comunicaciones, actualizada. Se estudiarán las disfunciones organizativas, roles y encargados del cumplimiento y del mantenimiento de los servicios de comunicaciones de la empresa auditada.