UNIVERSIDAD NACIONAL AUTNOMA DE HONDURAS CENTRO UNIVERSITARIO REGIONAL DEL NORTE ASIGNATURA: AUDITORIA EN SISTEMAS DE INFORMACION I CATEDRTICO: LIC.

FREDDY ORTIZ TEMA: AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

SECCIN: 21:01 LUGAR: FECHA: SAN PEDRO SULA, CORTES 22 DE AGOSTO DE 2005

INTRODUCCION
El administrador de la seguridad en un entorno de proceso electrnico de datos, es el responsable de los aspectos de seguridad fsica que afectan a la instalacin. En otras palabras, el administrador de la seguridad intenta garantizar que los recursos fsicos en los cuales se basa el desarrollo, implantacin y mantenimiento de sistemas estn seguros frente a amenazas externas o internas que puedan afectar a la continuidad de la instalacin, o puedan provocar perdida de activos de la organizacin, tanto materiales como datos. Por supuesto, la seguridad fsica y la de las aplicaciones van parejas. Si faltan los controles que tengamos establecidos para preservar la seguridad fsica, deben entonces dispararse los controles de aplicacin con el intento de proteger las aplicaciones individuales.

OBJETIVOS
El objetivo del presente trabajo es presentar de forma sinttica los principales puntos de la planificacin y revisin de la seguridad informtica, as como los objetivos de control y las directivas de auditoria relativas a la seguridad en sistemas informticos. Tambin mencionar algunos instrumentos utilizados por los administradores de la seguridad para obtener la tan til y ansiada seguridad lgica y fsica.

LA FUNCION DE LA SEGURIDAD EN UN SISTEMA DE INFORMACION

La informacin constituye un activo ms de las organizaciones y, en muchos casos, un elemento ms de ventajas competitivas, por lo que debe de

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

protegerse mediante las polticas, procedimientos y planes adecuados de seguridad. Las amenazas a los activos que componen la instalacin informtica (personal, equipos, programas, etc.) deben identificarse, y estimar la probabilidad de que ocurran.

SEGURIDAD INFORMATICA
La existencia de amenazas que afectan la disponibilidad, integridad y confidencialidad de los datos es real. Es crtico para las organizaciones poder identificar esas amenazas y adoptar recomendaciones que permitan prevenir, detectar y protegerse de ellas. La diversidad y la heterogeneidad de los sistemas de informacin que requieren las organizaciones actuales, sumado a la globalizacin a la que se enfrentan al conectar esos sistemas al mundo de internet, genera un sinfn de incertidumbres en lo referente a la seguridad de la informacin.

ANLISIS DEL RIESGO

Cuando se crea una poltica de seguridad de red, es importante comprender que la razn para crear esta poltica es, en primer lugar, asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable. Esto significa que se debe conocer cuales recursos vale la pena proteger, y cuales son ms importantes que otros. Tambin se debe identificar la fuente de amenazas de la cual se esta protegiendo a los recursos de la red. A pesar de toda la publicidad acerca de los intrusos que irrumpen en una red, muchos estudios indican que, en el caso de la mayora de las organizaciones, las verdaderas prdidas causadas por los usuarios internos son mucho mayores. El anlisis de riesgo implica determinar lo siguiente: Que necesita proteger? De que necesita protegerlo? Cmo protegerlo? Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida. No debe terminar en una situacin en la que se gaste ms en proteger algo que es de menor valor.

CONCEPTO DE HACKER
Un Hacker es una persona que est siempre en una continua bsqueda de informacin, vive para aprender y todo para l es un reto; no existen barreras, y lucha por la difusin libre de informacin, distribucin de software sin costo y la globalizacin de la comunicacin. El concepto de Hacker, generalmente es confundido errneamente con los mitos que existen acerca de este tema: Un Hacker es pirata, esto no es as ya que los piratas comercian con la informacin que obtienen, entre otras cosas, y un verdadero Hacker solo obtiene esa informacin para su uso personal. AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 3

 Un Hacker es el que entra en los sistemas ajenos y se dedica a destruir la informacin almacenada en ellos. El error consiste en que el que destruye informacin y sistemas ajenos, no es el Hackers sino el Cracker. Pero entonces veamos que s es un hacker: Un verdadero hacker es curioso y paciente: si no fuera as terminaran por hartarse en el intento de entrar en el mismo sistema una y otra vez, abandonando el objetivo. Un verdadero hacker no se mete en el sistema para borrarlo todo o para vender lo que consiga. Quiere aprender y satisfacer su curiosidad. Un hacker es inconformista, porqu pagar por una conexin que actualmente cuesta mucho dinero, y adems es limitado? Porqu pagar por una informacin que solo vamos a utilizar una vez en nuestra vida, por ejemplo, un articulo para un trabajo de la Universidad? Un hacker es discreto, es decir que cuando entra en un sistema es para su propia satisfaccin, no van por ah cantndolo a los cuatro vientos. La mayora de los casos de "Hackers" escuchados son en realidad "Fantasming". Esto quiere decir, que si un amigo se entera que se ha entrado en cierto sistema; "el ruido de los canales de comunicacin" har que se termine sabiendo que se ha entrado en un sistema cinco veces mayor, que haba destruido miles de ficheros y que haba inutilizado el sistema. Un hacker disfruta con la exploracin de los detalles de los sistemas programables y cmo aprovecha sus posibilidades; al contrario de la mayora de los usuarios, que prefieren aprender slo lo imprescindible. Un hacker programa de forma entusiasta (incluso obsesiva), rpido y bien. Un hacker disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa. Antiguamente en esta lista se inclua: Persona maliciosa que intenta descubrir informacin sensible: contraseas, acceso a redes, etc... Pero para este caso en particular los verdaderos Hackers han optado por el trmino Cracker y siempre se espera (quizs intilmente) que se los diferencie. Ntese que ninguna definicin define al Hacker como un criminal. En el mejor de los casos, los hackers cambian precisamente la fabricacin de la informacin en la que se sustenta la sociedad y contribuyen al flujo de tecnologa. En el peor, los hackers pueden ser traviesos perversos o exploradores curiosos. Los hackers no escriben dainos virus de computadora. Quienes lo hacen son los programadores tristes, inseguros y mediocres. Los virus dainos estn completamente en contra de la tica de los Hackers.

QU ES UN VIRUS?
Es un pequeo programa escrito intencionalmente para instalarse en la computadora de un usuario sin el consentimiento o el permiso de este. Decimos que es un programa parsito porque el programa ataca a los archivos o sectores y se replica a s mismo para continuar su esparcimiento.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daos que pueden afectar a los sistemas. Tienen diferentes finalidades: algunos slo 'infectan', otros alteran datos, otros los eliminan, algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es el mismo: PROPAGARSE. Es importante destacar que el potencial de dao de un virus informtico no depende de su complejidad sino del entorno donde acta. Un virus es un programa que cumple las siguientes pautas: es daino, es auto reproductor, es secreto. Los 5 principales sntomas de infeccin son: Se nos cambia sola la pgina de inicio, error y bsqueda del navegador. Se nos abren ventanitas pop-ups o emergentes por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayora son de temas pornogrficos. Barras de bsquedas de sitios como la de Alexa, Hotbar, etc. que no podemos eliminar. Botones que se aparecen la barras de herramientas del navegador y no podemos sacarlos. La navegacin por la red se hace cada da ms lenta.

QU ES UN ANTIVIRUS?
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes. Es importante aclarar que todo antivirus es un programa y que, como todo programa, slo funcionar correctamente si es adecuado y est bien configurado. Adems, un antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de los casos, sino que nunca ser una proteccin total ni definitiva. La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informtico en una computadora. Este es el aspecto ms importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informtico, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daos posibles. Adicionalmente, un antivirus puede dar la opcin de erradicar un virus informtico de una entidad infectada. Uno de los antivirus mas conocidos es el Norton Anti Virus, el Firewall, el Dr. Solomon's Toolkit. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

PRUEBAS DE INTRUSIN (TEST DE PENETRACIN o ETHICAL HACKING)

Los intrusos informticos utilizan diversas tcnicas para romper los sistemas de seguridad de una red. Bsicamente buscan los puntos dbiles del sistema para poder ingresar. El trabajo de los administradores y de los Testers no difiere

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

mucho de esto. En lo que si se diferencia, es en los objetivos: mientras un intruso penetra en las redes para distintos fines (investigacin, dao, robo), un administrador lo hace para poder mejorar los sistemas de seguridad. Los intrusos cuentan con grandes herramientas como los scanner, los cracking de passwords, software de anlisis de vulnerabilidades, los exploits y probablemente el arma ms importante: la ingeniera social. Un administrador cuenta con todas ellas empleadas para bien, las contraseas, los sistemas de deteccin de intrusos y los sistemas de rastreo de intrusiones. Al conjunto de tcnicas que se utilizan para evaluar y probar la seguridad de una red se le conoce como ethical hacking, uno de los recursos ms poderosos con los que se cuenta hoy para generar barreras cada vez ms eficaces. Un test est totalmente relacionado con el tipo de informacin que se maneja en cada organizacin. Por consiguiente, segn la informacin que deba ser protegida, se determinan las estructuras y las herramientas de seguridad; no a la inversa. El software y el hardware utilizados son una parte importante, pero no nica. A ella se le agrega lo que se denomina polticas de seguridad internas que cada organizacin (y usuario) debe generar e implementar. El Penetration test o ethical hacking, es un conjunto de metodologas y tcnicas para realizar una evaluacin integral de las debilidades de los sistemas informticos. Consiste en un modelo que reproduce intentos de acceso a cualquier entorno informtico de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. El objetivo general del ethical hacking es acceder a los equipos informticos de la organizacin analizada e intentar obtener los privilegios del administrador del sistema, logrando as realizar cualquier tarea sobre esos equipos. Tambin se podrn definir otros objetivos secundarios que permitan realizar pruebas puntuales sobre algunos mbitos particulares de la empresa.

POLTICAS DE SEGURIDAD
El software, el hardware y las conexiones entre redes de computadores nunca sern 100% seguras. Apuntando a la proporcin para la seguridad total, una organizacin debe asignar un valor a la informacin que est intentando proteger y balancearla contra el ocultamiento de una violacin de seguridad y el costo de implementar varias medidas de seguridad. Es importante tener una poltica de seguridad de red bien concebida y efectiva que pueda proteger la inversin y los recursos de informacin de la compaa. Vale la pena implementar una poltica de seguridad si los recursos y la informacin que la organizacin tiene en sus redes merecen protegerse. La mayora de las organizaciones tienen en sus redes informacin delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

Si los usuarios tienen acceso irrestricto a la red, puede ser difcil aplicar una poltica que limite ese acceso. Tambin se debe tomar en cuenta que la poltica de seguridad que se debe usar es tal, que no disminuir la capacidad de la organizacin. Una poltica de red que impide que los usuarios cumplan efectivamente con sus tareas, puede traer consecuencias indeseables: los usuarios de la red quiz encuentren la forma de eludir la poltica de seguridad, lo cual la vuelve inefectiva. La poltica de seguridad del sitio debe tomar en cuenta la proteccin de estos recursos. Debido a que el sitio est conectado a otras redes, la poltica de seguridad del sitio debe considerar las necesidades y requerimientos de seguridad de todas las redes interconectadas. Una poltica de seguridad en redes efectiva es algo que todos los usuarios y administradores de redes pueden aceptar y estn dispuestos a aplicar. Podemos definir POLTICA DE SEGURIDAD DE LA INFORMACIN como el conjunto de normas, reglas, procedimientos y prcticas que regulan la proteccin de la informacin contra la prdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada. La Poltica de seguridad nos indica: Qu hay que proteger Qu Principios hemos de tener en cuenta Cules son los Objetivos de Seguridad a conseguir La asignacin de cometidos y responsabilidades La Poltica de Seguridad se expresa mediante principios y objetivos. Un PRINCIPIO es una norma o idea fundamental que rige la Poltica de Seguridad, y que se acepta en esencia. Un OBJETIVO es la declaracin expresa de la intencin de conseguir algo que contribuye a la seguridad de la informacin, bien porque se opone a una de las amenazas identificadas o bien porque satisface una exigencia de la poltica de seguridad de la informacin.

ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD

Dependiendo del tamao de una organizacin, la funcin de administracin de la seguridad puede ocupar cuatro posiciones:

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

En pequeas organizaciones que utilizan sistemas llave en mano puede no haber personal informtico y, como consecuencia, nadie asume el papel de administrador de la seguridad, sin embargo la administracin de la seguridad es tan importante en las pequeas organizaciones como en las grandes. Cuando una organizacin tiene su propio personal de proceso de datos, pero no hay suficiente trabajo como para justificar un puesto de trabajo de administrador de la seguridad. En organizaciones grandes puede haber suficiente carga de trabajo como para justificar un puesto de trabajo nico de administrador de la seguridad. Dentro de las organizaciones grandes, y tambin en otros casos, depender del responsable de seguridad para todos los aspectos de seguridad de la organizacin.

COMO LLEVAR A CABO UN PROGRAMA DE SEGURIDAD

Un programa de seguridad consiste en una serie de evaluaciones peridicas y sucesivas, que se llevan a cabo para asegurarse de que los recursos fsicos de una instalacin informtica estn adecuadamente salvaguardados. Una de las primeras tareas del administrador de seguridad es preparar y estudiar una lista amplia de las posibles amenazas o peligros a la organizacin, preparar un inventario de los activos, evaluar la adecuacin de los controles, implantar nuevos controles. El programa de seguridad requiere que se lleven a cabo evaluaciones peridicas, para determinar si la siempre cambiante realidad de una organizacin continua cubierta en sus aspectos de seguridad. Existen seis pasos o fases a llevar a cabo cuando se evala la seguridad de una instalacin: 1. Preparacin de un plan: la preparacin de un plan escrito, con objetivos claros y alcanzables, es el primer paso en la toma de conciencia de los aspectos de seguridad en una instalacin informtica y debe considerarse en primer lugar las reas crticas una vez identificadas estas, podremos comenzar a considerar aspectos de seguridad para la instalacin. Los puntos bsicos de dicho plan son los siguientes: Objetivos y mbito de la evaluacin Tareas a realizar Organizacin del equipo del plan de seguridad Asignar y presupuestar los recursos Planificacin de tareas 2. Identificacin y valoracin de los activos: para cada tipo de activo, el administrador de la seguridad debe preparar un inventario lo mas completo posible para identificar y valorar cada activo. La valoracin es una referencia para que los usuarios desarrollen la sensibilidad necesaria a las posibles consecuencias de la amenaza de no disponer de ese activo en caso de fraude o desastre. AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 8

3. Identificacin de amenazas: una amenaza se define como una accin o suceso que puede conducir a una prdida por eso el administrador de la seguridad debe: Identificarlas.(tipo y activos a los que afectara) Evaluar la probabilidad de que ocurra Despus de identificar las amenazas a las que se debe estimar la probabilidad de que ocurran. 4. Anlisis de riesgo: esta es la fase ms difcil en una evaluacin de seguridad y comprende tres tareas principales: Identificacin de los controles y garanta de su fiabilidad. Evaluacin de la probabilidad de que una amenaza se convierta en realidad, dada la fiabilidad de los controles diseados para enfrentarse a ella. Establecimiento de las perdidas que tendran lugar si la amenaza consigue saltarse los controles. 5. Ajuste de los controles: esta fase incluye tanto la revisin de los controles ya existentes, como el rediseo de los mismos, o incluso la implantacin de nuevos controles. Por lo que el administrador de la seguridad debe realizar un anlisis costo-beneficio de los riesgos a que se enfrenta la instalacin, y de los controles a implantar. 6. Preparacin del informe: esta es la fase final de la revisin de la seguridad en donde se documentan los hallazgos de la revisin y se realizan recomendaciones. Estas recomendaciones que realiza el auditor deben estar suficientemente justificadas tcnica y econmicamente, debido a que requerirn disear o implantar nuevos controles, realizar inversiones en seguridad adicionales o modificar la poltica de seguridad existente.

SEGURIDAD FISICA Y LOGICA

El acceso a los recursos de ordenador del departamento de informtica debera estar limitado a aquellos individuos que tengan necesidad documentada y autorizada de efectuar dicho acceso. Para proteger los recursos de ordenador

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

contra utilizacin o modificacin no autorizada, dao o perdidas, deberan establecerse niveles de controles de acceso lgico o fsico. Es muy importante ser conciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos (hackers, virus, ataques de sistemas remotos, etc.); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente polticas claras de recuperacin de desastres, las cuales nos ayudan a seguir una gua para restaurar el servicio de cmputo en forma rpida, eficiente y con el menor costo y prdidas posibles. La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. En otras palabras se refiere a la proteccin del hardware y de los soportes de datos, as como los edificios e instalaciones que los albergan. Las principales amenazas que se prevn en Seguridad Fsica son: Desastres naturales, incendios accidentales, tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. Evaluar y controlar permanentemente la seguridad fsica de las instalaciones de cmputo y del edificio es la base para comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso fsico permite: Disminuir siniestros. Trabajar mejor manteniendo la sensacin de seguridad. Descartar falsas hiptesis si se produjeran incidentes. Tener los medios para luchar contra accidentes. Luego de ver como nuestro sistema puede verse afectado por la falta de seguridad fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de cmputo no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica que la asegure. La Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. Es decir, la seguridad en el uso del software, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

10

Existe un viejo dicho en la seguridad informtica que dicta que todo lo que no est permitido debe estar prohibido y esto es lo que debe asegurar la seguridad lgica. Los objetivos que se plantean sern: Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. Que la informacin transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro. Que la informacin recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin. Aqu se mencionan los programas antivirus, la programacin de los sistemas, las contraseas, palabras de paso, la restriccin de los accesos, etc. Es muy importante la adecuada seleccin de las herramientas que una organizacin necesita adquirir, as como su correcta implantacin. Un adecuado proceso de seleccin permite encontrar un punto de equilibrio entre el costo que las herramientas tienen y el que ocasionan las violaciones de seguridad. De igual manera, el xito de las herramientas depende de su correcta implantacin, configuracin y administracin. La seguridad y la utilidad de una computadora son inversamente proporcionales; es decir que incrementar la seguridad en un sistema informtico, su operatividad desciende y viceversa. Tenemos la tambin llamada informtica forense, por investigacin forense en computacin se conoce al conjunto de herramientas y tcnicas que son necesarias para encontrar, preservar y analizar pruebas digitales frgiles, que son susceptibles de ser borradas o sufrir alteracin de muchos niveles. Quienes la practican renen esos datos y crean una llamada prueba de auditora para juicios penales. Buscan informacin que puede estar almacenada en registros de acceso, registros especficos, modificacin de archivos intencionalmente, eliminacin de archivos y otras pistas que puede dejar un atacante a su paso. La idea principal en este tipo de anlisis es contar completamente con todo el apoyo del afectado y depende exclusivamente del manejo inmediato que el atacado le haya dado al incidente, ya que al ingresar al sistema o apagar el servidor se puede perder informacin valiosa para anlisis posteriores.

AUDITORIA DE ENTORNOS FISICOS

Los riesgos ms inmediatos y generalmente ms fciles de detectar estn en los entornos fsicos. Debe existir una proteccin fsica adecuada de las

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

11

instalaciones, los equipos, los programas y los datos respecto a cualquier acceso no autorizado o cualquier tipo de riesgo en general. 1. PUNTOS A REVISAR EN EL ENTORNO FISICO: En instalaciones importantes es frecuente que haya una persona o equipo responsable de la seguridad informtica en general, funcin diferente de la auditoria informtica. El auditor debe revisar los puntos siguientes: Instalaciones Accesos Salidas de evacuacin Documentacin Control de impresos Personal Contratacin de plizas de seguro adecuadas A continuacin veremos con ms detalle la revisin de estos puntos: 2. INSTALACIONES: Revisar la ubicacin de los ordenadores: estos deben de estar protegidos de inundaciones u otras catstrofes y de la manipulacin de empleados no autorizados. Sala de ordenadores y sus instalaciones auxiliares: estas deben de ser construidas con materiales adecuados y resistentes, el falso suelo y falso techo han de ser incombustibles y tambin deberan serlo las puertas y las paredes. Fuego: debe de haber detectores de humo, detectores de calor y extintores. Existencia de alarmas y sistemas de extincin: los extintores no deben ser nocivos, ni daar los ordenadores y no deberan de ser ecolgicamente dainos. Las cajas de impresos: deben de estar en reas distintas, no solo por el fuego sino porque su manipulacin genera polvo y particulas perjudiciales para el procesador y disco. El tabaco: debe estar prohibido fumar y se debe recordar con carteles. Planes de adecuacin: para facilitar la labor de los bomberos y equipos de extincin es necesario contar con planos, sealizacin adecuada e instrucciones. Personal: en cuanto a las personas, es necesario tener un botiqun de primeros auxilios, para quemaduras y cualquier emergencia. Pruebas: deben hacerse pruebas peridicas de detectores y extintores automticos y revisar la carga. Aire acondicionado: necesario no solo por la temperatura y por la humedad sino por la pureza del aire; las particulas daan dispositivos y soportes magnticos. Medidores de corriente Falso suelo

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

12

3. ACCESOS: el auditor debe revisar las medidas de seguridad en los accesos de la forma siguiente: Control fsico: Registro de visitas: se controla mediante contraseas, tarjetas, huellas, firma o por reconocimiento de vos. Grabacin de visitas en pelculas Control lgico: Paquete de seguridad y perfil de cada usuario segn a que pueda y deba acceder. Terminales desconectadas despus de un periodo de tiempo sin uso. Contraseas de 5 a 8 caracteres alfanumrico, generados aleatoriamente y la proteccin de contraseas que deberan memorizarse. 4. SALIDAS DE EVACUACION: se revisa a travs de los aspectos siguientes: Entrenamiento y planes adecuados, pruebas y simulacros peridicos. Procedimientos de alerta AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 13

Sealizacin adecuada

5. DOCUMENTACION: se revisa a travs de: Documentacin adecuada, completa y actualizada. Referida a operacin normal 6. CONTROL DE IMPRESOS: se revisa a travs del aspecto siguiente: Determinados impresos deben estar controlados de forma especial, e incluso las hojas que se estropean al posicionar el papel en la impresora, para evitar fraudes. Debe existir un control de al menos dos personas cuando dichos impresos se reciben. 7. PERSONAL: se revisa a travs de: Descripcin de funciones y que no exista incompatibilidad. Revisin de cumplimiento de objetivos y de salarios. Rotacin peridica para poder cubrir vacantes y por seguridad. Si un empleado deja la entidad o la funcin hay que recuperar llaves, tarjetas de acceso y contraseas.

8. CONTRATACION DE POLIZAS DE SEGURO ADECUADAS: los grandes riesgos a cubrir, al menos, deben ser los siguientes: Incendios Fenmenos naturales Inundaciones

AUDITORIA DE LA SEGURIDAD LOGICA

La seguridad lgica complementa y se contrapone a la seguridad fsica. La clave de la seguridad lgica es el sistema operativo, que segn los casos pueden reforzarse con medidas organizativas y de control interno. La seguridad lgica tiene dos dimensiones que son: 1. La autenticacin o acreditacin de usuarios: Necesidad acreditada, positiva, de acceso. Mnimo privilegio necesario. 2. El secreto de archivos y transmisiones En el caso de auditorias de seguridad lgica se diferencian dos escenarios: 1. Auditoria de penetracin externa: se auditan los sistemas de forma que estn protegidos frente a ataques desde fuera de la organizacin. 2. Auditoria de penetracin interna: consiste en el mismo estudio de la penetracin externa, pero haciendo la suposicin que el ataque proceder desde el interior de la empresa, es decir, por usuarios del sistema.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

14

Algunas reas de estudio que pueden formar parte de una auditoria de seguridad lgica: Virus: atentan contra la confidencialidad (troyanos), integridad y disponibilidad de los datos y el software. Hackers: atentan al menos contra la confidencialidad de los datos. Sistemas operativos inestables (no bien instalados, con cadas de sistema frecuentes): atentan al menos contra la disponibilidad. Copias de seguridad: incrementa la disponibilidad de los datos. Programas mal diseados: atentan contra la integridad de los datos ya que producen resultados incorrectos (no corresponden a la realidad), pueden dejar datos incorrectos en caso de cadas. LA SEGURIDAD NO ES UN PRODUCTO, ES UN PROCESO CONSTANTE

RESPONSABILIDAD DE LA SEGURIDAD LOGICA Y FISICA

OBJETIVO DE CONTROL La responsabilidad de asegurar la seguridad, tanto lgica como fsica, de los activos de informacin de la organizacin, debera estar asignada a un director dependiente de la alta direccin de la organizacin. Dicha persona no debe tener responsabilidades como: operacin de equipos, o entrada de datos a ser tratados con el departamento de informtica. DIRECTIVA DE AUDITORIA Deben revisarse los procedimientos de la organizacin para asegurar la seguridad, tanto lgica como fsica, de sus activos de informacin. Revisar el organigrama de la organizacin para determinar si se ha nombrado un director de seguridad de la informacin y si dicha persona depende de algn miembro de la alta direccin de la organizacin. Revisar la declaracin de polticas de seguridad de la informacin de la organizacin. Entrevistar al director de seguridad de la informacin de la organizacin o a otros empleados a los que se le hayan asignado responsabilidades de la seguridad de la informacin. Entrevistar a personal seleccionado del departamento de informtica. Revisar los procedimientos que la organizacin pueda tener para identificar riesgos potenciales para la seguridad de la informacin planteados por los miembros del departamento de informtica.

ACCESO A LAS INSTALACIONES DE ORDENADORES

OBJETIVO CONTROL

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

15

Deberan adoptarse medidas para asegurar que, el acceso a las instalaciones (o salas) de ordenadores del Departamento de informtica, queda restringido a los individuos que han sido autorizados a tener dicho acceso. DIRECTIVA DE AUDITORIA Deben revisarse los procedimientos establecidos por el Departamento de Informtica para restringir el acceso a sus instalaciones de ordenadores. Asegurar que se ha publicado una declaracin escrita que define las restricciones de acceso a las instalaciones. Determinar si hay procedimientos adecuados para evitar que personas no autorizadas logren acceder a las instalaciones. Obtener un plano de la distribucin fsica de las instalaciones de ordenadores del departamento de informtica. Obtener una lista de todos los individuos autorizados atener acceso al departamento de informtica y que dicho permiso sea necesario. Observar las actividades en el departamento de informtica para asegurarse de que solamente entre personal autorizado. Asegurar que, cuando las instalaciones de ordenadores del Departamento de Informtica estn desocupadas, hay vigilancia peridica.

ACOMPAAMIENTO DE VISITAS
OBJETIVO DE CONTROL Las personas que no son miembros de la plantilla de explotacin del departamento de Informtica, debern ser acompaadas por un miembro de dicha plantilla. DIRECTIVA DE AUDITORIA Deben revisarse los procedimientos de Departamento de Informtica para asegurar que cualquier persona que no sea de la plantilla de explotacin es acompaada por un miembro de la misma. El auditor debe revisar los procedimientos establecidos por el departamento de informtica para identificar a las visitas a las instalaciones de ordenadores y para acompaarles mientras estn presentes en esas reas.

ADMINISTRACION DE PALABRAS DE PASO

OBJETIVO DE CONTROL El acceso lgico a los ordenadores del departamento de informtica debera estar restringido mediante el uso de palabras de paso asociadas a regla de acceso. DIRECTIVA DE AUDITORIA Debe revisarse el procedimiento del departamento de informtica para el empleo de palabras de paso y otras restricciones lgicas de acceso a los recursos de ordenador. Revisar el procedimiento del departamento de informtica para aadir, cambiar o borrar personas a la lista de las autorizadas a tener acceso a los recursos del ordenador.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

16

 Revisar el procedimiento del departamento de informtica para suministrar palabras de paso. Verificar que los procedimientos del departamento de informtica aseguran que las palabras de paso no aparecen en pantalla durante el proceso de identificacin del usuario. Determinar si los procedimientos del departamento de informtica restringen a los usuarios a terminales, horarios y das de la semana especficos, cuando el riesgo justifica controles adicionales de acceso. Determinar si las palabras de paso tienen una longitud adecuada, que estas sean cambiadas peridicamente y que no sean utilizadas por la misma persona. Determinar si los usuarios quedan desconectados rpidamente, y si en caso de despido de alguna persona su identificacin y palabra de paso quedan canceladas.

INFORMES DE VIOLACIONES Y ACTIVIDADES DE SEGURIDAD

OBJETIVO DE CONTROL Los procedimientos de seguridad de la informacin del departamento de informtica, deberan de asegurar que se revisan peridicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes relativos a actividades no autorizadas. DIRECTIVA DE AUDITORIA Determinar si se vienen registrando cambios en los registros de violaciones de seguridad del departamento de informtica, y verificar que existan los documentos autorizando los cambios. Revisar los procedimientos del departamento para revisar y resolver los informas sobre violaciones de seguridad y que se cumplan. Determinar si los registros de violaciones de seguridad del departamento de informtica estn protegidos contra destruccin accidental o intencional.

RESTRICCIONES DE ACCESO LOGICO

OBJETIVO DE CONTROL El departamento de informtica debera establecer reglas automticas que regulan el acceso a sus recursos de ordenador. DIRECTIVA DE AUDITORIA Determinar si existe documentacin que justifique la necesidad de la autorizacin para que el usuario acceda a recursos del sistema de informacin. Revisar los procedimientos para el acceso de emergencia o temporal a los recursos del sistema de informacin. Verificar que el acceso temporal solo se concede con la frecuencia estrictamente necesaria.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

17

 Verificar que la separacin de funciones se mantiene mediante el sistema de control de acceso y determinar que los programadores de sistemas y los de aplicaciones no tienen acceso a programas y datos de explotacin.

SEGURIDAD DE ACCESO A DATOS EN LINEA (ON LINE)

OBJETIVO DE CONTROL En un entorno de tratamientos de datos en lnea, los procedimientos del departamento de informtica, deberan brindar controles de seguridad de los accesos basados en la necesidad probada del individuo de consultar, aadir, cambiar o borrar datos. DIRECTIVA DE AUDITORIA Debe revisarse los procedimientos del departamento de informtica para autorizar el acceso a un entorno de tratamiento en lnea de aplicaciones y datos. Determinar si los procedimientos del departamento de informtica para autorizar el acceso permiten limitar las funciones de consultar, aadir, cambiar o borrar datos, y restringir el acceso individual. Determinar si la direccin de los departamentos usuarios valida peridicamente las libertades de acceso al entorno de tratamiento en lnea actualmente concedidas a individuos de su departamento.

PROTECCION CONTRA EL FUEGO

OBJETIVO DE CONTROL Las medidas de proteccin contra el fuego de la zona de explotacin del departamento de informtica, deberan ser conforme con los estndares generalmente aceptados para dichas medidas protectoras. DIRECTIVA DE AUDITORIA Revisar los estndares generalmente aceptados, publicados por organizaciones nacionales de proteccin contra el fuego. Determinar mediante entrevistas con la alta direccin de la organizacin y con la direccin del departamento de informtica, su comprensin de la adecuacin del cumplimiento del departamento con estndares de proteccin contra el fuego generalmente aceptados. Revisar las evaluaciones de la adecuacin de las medidas de proteccin contra el fuego realizadas por la agencia de seguros o por el jefe de bomberos.

FORMACION Y CONCIENCIACION EN PROCEDIMEINTOS DE SEGURIDAD

OBJETIVO DE CONTROL AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

18

El personal de explotacin del departamento de informtica, debera recibir informacin peridica sobre los controles y procedimientos de seguridad que se espera que cumplan. DIRECTIVA DE CONTROL Determinar que los miembros de la plantilla del departamento de informtica, han recibido peridicamente informacin adecuada sobre los procedimientos a seguir en caso de emergencias de fuego, agua o alarmas. Verificar que estos miembros conozcan los sitios en los que se encuentran las alarmas de fuego, los extintores, de los interruptores de energa elctrica normales y de emergencia, etc.; adems de saber si los miembros del departamento efectan simulacros de incendio.

INSTALACION DE CAMBIOS EN EL SOFTWARE DE SISTEMAS

OBJETIVO DE CONTROL Los cambios del software del sistema realizados por el departamento de informtica deberan ser probados detalladamente antes de comenzar su utilizacin y aplicacin de tratamientos de datos reales. DIRECTIVA DE AUDITORIA Determinar si el departamento de informtica ha establecido un plan escrito para la prueba de cambios en el software de sistemas. Determinar si los problemas puestos de manifiesto durante las pruebas fueron identificados y resueltos adecuadamente. Determinar si en el departamento de informtica existen instalaciones e pruebas adecuadas para brindar una seguridad razonable. Determinar si a los programadores del departamento y a los usuarios del software de sistemas se les notifica adecuadamente del cambio en el producto.

MANTENIMIENTO DE SOFTWARE DE SISTEMAS

OBJETIVO DE CONTROL Todas las actividades de mantenimiento del software del sistema deberan documentarse del modo que satisfagan los estndares del departamento de informtica. DIRECTIVA DE AUDITORIA Revisar los procedimientos del departamento de informtica para el mantenimiento del software de sistemas y determinar si todos los cambios obtenidos en estos productos estn documentados. Verificar que la documentacin contiene una historia de quien hizo el cambio, cuando se hizo el cambio y una descripcin del mismo.

CONTROL DE CAMBIOS EN EL SOFTWARE DE SISTEMAS

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 19

OBJETIVO DE CONTROL Todo el software de sistemas debera tenerse en bibliotecas de programas separadas y protegidas, en el departamento de informtica. DIRECTIVA DE AUDITORIA Obtener una lista de las bibliotecas de pruebas y explotacin utilizadas para almacenar el software de sistemas. Determinar si el acceso a las bibliotecas que almacenan el software esta limitado por la necesidad de cada individuo. Revisar los controles establecidos para asegurar que los programadores de sistemas no introducen cambios en dichos productos sin probarlos ni documentarlos adecuadamente.

GESTION DE PROBLEMAS CON EL SOFTWARE DE SISTEMAS

OBJETIVO DE CONTROL Todos los programas de explotacin experimentados por el departamento de informtica que puedan ser atribuidos al software de sistemas deben registrarse, analizarse y resolverse. DIRECTIVA DE AUDITORIA Revisar los procedimientos del departamento de informtica para identificar y documentar problemas con el software de sistemas. Determinar si los registros de problemas con el software de sistemas del departamento identifican la gravedad del problema, registran la asignacin de su anlisis y solucin a individuos concretos y especifican la forma de resolucin del problema. Revisar las causas y frecuencias de los problemas recurrentes con el software de sistemas y cerciorarse si el proceso de control de cambios debera haber prevenido tales problemas.

SEGURIDAD DEL SOFTWARE DE SISTEMAS

OBJETIVO CONTROL El software de sistemas instalado por el departamento de informtica no debera poner en peligro la integridad de los datos y programas almacenados en el ordenador. DIRECTIVA DE AUDITORIA Revisar las posibilidades de soslayar las restricciones de acceso de seguridad lgica ya existentes, de las brindadas por el software de sistemas utilizadas por el departamento de informtica y determinar si el departamento ha establecido procedimientos para restringir tales posibilidades. Revisar las capacidades que el software de sistemas utilizado por el departamento tiene para interrumpir el entorno de explotacin y determinar

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

20

si existe en el departamento un procedimiento para limitar el acceso a esas capacidades. Determinar que terminales han sido habilitados con posibilidad de ejecutar en la consola del sistema, y verificar que las medidas de seguridad fsica y lgica existentes restringen adecuadamente el acceso a dichas consolas de sistema. Determinar si las palabras de paso suministradas por el proveedor de software de sistemas, se cambiaron por el departamento en el momento de instalacin, como un procedimiento de rutina.

SOPORTES MAGNETICOS
Es esencial contemplar una nica biblioteca cincotecas (aunque sea virtual) de soportes magnticos (cintas, discos, cartuchos, diskettes, etc.), que englobe bibliotecas de explotacin, de pruebas, de usuarios finales, de seguridad remota, etc. Cualquier irregularidad que se cometa empleando la informtica o que deje registro informtico, aunque sea transitorio, tendr probablemente una traza magntica. 1. RESPONSABILIDADES DE GESTION DE LA BIBLIOTECA DE SOPORTES MAGNETICOS OBJETIVO DE CONTROL Las responsabilidades de gestin de la biblioteca de soportes magnticos deberan ser asignadas a miembros especficos del departamento de informtica, y el departamento debera establecer procedimientos de gestin interna para proteger los contenidos de al biblioteca. DIRECTIVA DE AUDITORIA Asegurar que las responsabilidades de la biblioteca esta a cargo de empleados especficos de explotacin del departamento de informtica. Asegurar que la biblioteca de soportes esta situada en un rea dentro del departamento de informtica, que esta seguro de daos de fuego, agua y sabotaje. Determinar si hay procedimientos para controlar el acceso y el uso de todos los ficheros de programas de aplicacin al departamento. Verificar la existencia de cualquier instalacin remota que pueda ser utilizada para almacenar copias de ficheros de datos crticos que se encuentran en la biblioteca de soportes y que estos datos se encuentren realmente copias de ficheros seleccionados. Examinar los procedimientos del departamento para la creacin de copias de ficheros a ser almacenados en instalaciones remotas.

2. SISTEMA DE GESTION DE LA BIBLIOTECA DE SOPORTES OBJETIVO DE CONTROL

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

21

El departamento de informtica debera de establecer procedimientos para asegurar que los contenidos de su biblioteca de soportes se inventaran peridicamente, que todas las discrepancias puestas de manifiesto por dicho inventario se corrigen a tiempo oportuno y que se adoptan medidas para conservar la integridad de los soportes magnticos. DIRECTIVA DE AUDITORIA Determinar si los bibliotecarios de soportes verifican peridicamente la exactitud de la informacin creada y mantenida por un sistema de gestin de bibliotecas de soportes, y realizar muestreos selectivos de registros de este sistema para cerciorarse que son exactos y completos. Verificar que los registros de los inventarios de contenido de la biblioteca de soportes, especifican el numero de soporte, el periodo de retencin, quien lo custodia actualmente y que las etiquetas internas empleadas, contienen los siguientes tems: Nombre del fichero Fecha de creacin Programa que lo creo Periodo de retencin del soporte Numero de registros o bloques contenidos en el soporte Determinar si los procedimientos de conservacin de los soportes magnticos especifica un ciclo peridico de limpieza de los soportes de la biblioteca y revisar los registros pertinentes para asegurar que eso se esta haciendo. 3. IDENTIFICACION EXTREMA Y CONTROL DE SOPORTES MAGNETICOS OBJETIVO DE CONTROL El departamento de informtica debera establecer estndares para la identificacin externa de los soportes magnticos y para el control de su movimiento fsico. DIRECTIVA DE AUDITORIA Asegurar que el departamento tiene procedimientos y estndares adecuados para identificar externamente, conservar, controlar el movimiento y proteger sus soportes magnticos. Observar los procedimientos del departamento para trasladar soportes magnticos para ser procesados y devueltos a la biblioteca y verificar que los estndares y los procedimientos del departamento se estn cumpliendo. Asegurar q e se llevan a cabo revisiones peridicas de las etiquetas externas de los soportes magnticos. Determinar que el departamento conserva registros adecuados de todos los soportes magnticos recibidos de o enviados a terceros.

CUESTIONARIO RAPIDO SOBRE SEGURIDAD INFORMATICA

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 22

EN QUE GRADO SON VULNERABLES USTEDES?

La siguiente es una lista de diez preguntas que le darn una indicacin aproximada de la proteccin de su empresa en sus operaciones informticas. Este cuestionario no pretende ser un sustituto de un anlisis completo de exposicin al riesgo. (Rodee con un crculo el nmero de cada respuesta correcta) 1. Se prohbe a los empleados de informtica iniciar transacciones contables originales, ajustes o correcciones? 2. Han identificado ustedes la existencia de individuos (programadores u otro personal tcnico) que estn en posicin de ocasionar dao considerable, o de quienes la organizacin tiene una alta dependencia? 3. Se niega la entrada a su sala de ordenador, a su biblioteca de discos y cintas y a su almacn de papel impreso, a toda persona que no tenga por su trabajo razn para entrar? 4. Se basan en calendarios planificados las vacaciones de los empleados? (Lo cual le permitira a usted a ustedes poner de manifiesto eventuales practicas no autorizadas) 5. Usan ustedes un procedimiento formal, que incluya autorizaciones individuales firmadas, para controlar cambios y modificaciones en el software de aplicaciones? 6. Contienen los ficheros de clientes y proveedores nombres seuelos (decoy) para controlar su uso no autorizado? 7. Como regla general, prohben ustedes que alguien trabaje solo en la sala del ordenador? 8. Para las principales aplicaciones financieras o contables existe un diagrama de traza de auditoria (audit trail) y/o una descripcin clara que indique como puede trazarse o seguirse una transaccin a lo largo del sistema? 9. Hay una posicin de auditoria interna o de seguridad que reciba informes estndar de las diferencias en cajas o inventarios, de las transacciones de gran volumen econmico, de los consumos de almacn inusualmente altos, o de otras actividades inusuales, inconsistentes o sospechosas? 10. Procesaran ustedes a empleados a quienes hubieran descubierto culpables de una actividad delictiva seria premeditada contra la organizacin?

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

23

Si hay tres o mas respuestas negativas (nmeros no rodeados), su organizacin puede tener una vulnerabilidad informtica grave. Si hay al menos una respuesta negativa (nmeros no rodeados), puede convenir una accin correctora.

RESUMEN
La informacin constituye un activo ms de las organizaciones y, en muchos casos, un elemento ms de ventajas competitivas.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

24

El anlisis de riesgo implica determinar lo siguiente: Que necesita proteger? De que necesita protegerlo? Cmo protegerlo? Un virus es un pequeo programa escrito intencionalmente para instalarse en la computadora de un usuario sin el consentimiento o el permiso de este. Un hacker no es un criminal. La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informtico en una computadora. Al conjunto de tcnicas que se utilizan para evaluar y probar la seguridad de una red se le conoce como ethical hacking. Es importante tener una poltica de seguridad de red bien concebida y efectiva que pueda proteger la inversin y los recursos de informacin de la compaa. El programa de seguridad requiere que se lleven a cabo evaluaciones peridicas, para determinar si la siempre cambiante realidad de una organizacin continua cubierta en sus aspectos de seguridad. La seguridad fsica se refiere a la proteccin del hardware y de los soportes de datos, as como las instalaciones que los albergan. La seguridad lgica se refiere a la seguridad en el uso del software, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin. La seguridad y la utilidad de una computadora son inversamente proporcionales; es decir que incrementar la seguridad en un sistema informtico, su operatividad desciende y viceversa. Es muy importante la adecuada seleccin de las herramientas que una organizacin necesita adquirir, as como su correcta implantacin. Pese a todas las medidas de seguridad puede ocurrir un desastre, por lo tanto es necesario un plan de recuperacin de desastres, el cual tendr como objetivo, restaurar el servicio de cmputo en forma rpida, eficiente y con el menor costo y prdidas posibles. El trabajo del auditor de sistemas ser conformar sistemas que no necesiten mantenimiento excesivo, que el sistema de cmputo ser parte de la solucin y no parte del problema.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA

25