TEMA 6 AUDITORA DE LA SEGURIDAD LGICA

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Tcnicas de auditora

Objetivos del tema

Conocer la importancia de la seguridad de la informacin Conocer que es el acceso lgico Conocer las principales exposiciones a riesgos de acceso lgico Conocer los controles ms usuales de acceso lgico Conocer que es el software de control de acceso Conocer tcnicas de auditora del acceso lgico

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Tcnicas de auditora

Elementos clave de la gestin de la seguridad

Polticas y procedimientos Organizacin

Elementos clave de la gestin de la seguridad

Polticas y procedimientos Debe haber una poltica de organizacin general manifestando el claro compromiso de la alta direccin dando directrices al respecto ASPECTOS A RECALCAR la importancia de la informacin para la organizacin la necesidad de la seguridad la importancia de definir los activos sensibles y crticos a proteger las responsabilidades

Elementos clave de la gestin de la seguridad

Organizacin Las responsabilidades de proteger cada activo y de llevar a cabo procesos especficos de seguridad deben estar claramente definidas. La poltica de seguridad debe dar una gua general de cmo asignar estas responsabilidades

Elementos clave de la gestin de la seguridad

Asignacin de responsabilidades

Direccin ejecutiva
Tiene la responsabilidad global de la seguridad de la informacin.

Comit de seguridad
Debe estar constituido por gerentes de diferentes niveles Su tarea es la de discutir temas de seguridad y establecer las prcticas de seguridad.

Elementos clave de la gestin de la seguridad

Asignacin de responsabilidades

Propietarios de datos
Determinan los niveles de clasificacin de los datos en cuanto a su criticidad y niveles de acceso Son los responsables de dar el tipo de acceso a los datos bajo su responsabilidad.

Propietarios de procesos
Son los responsables de la seguridad de los procesos bajo su responsabilidad en lnea con la poltica de la organizacin

Elementos clave de la gestin de la seguridad

Asignacin de responsabilidades

Desarrolladores de TI
Implementan la seguridad de la informacin

Especialistas de seguridad
Promueven y ayudan en el diseo, implementacin, gestin y revisin de la poltica y procedimientos de seguridad

Elementos clave de la gestin de la seguridad

Asignacin de responsabilidades

Usuarios
Seguir los procedimientos establecidos en la poltica de seguridad leer la poltica de seguridad mantener en secreto la identificacin de usuario y la contrasea informar de las sospechas de violacin de la seguridad mantener una buena seguridad fsica
cerrar las puertas, llaves de acceso en lugar seguro, no revelar la clave de acceso de cerraduras electrnicas, preguntar a personas desconocidas.

cumplir las leyes y regulaciones legales

Elementos clave de la gestin de la seguridad

Asignacin de responsabilidades

Auditores de SI
Dar un aseguramiento independiente a la gerencia de la adecuacin y eficacia de los objetivos de seguridad de la informacin.

Elementos clave de la gestin de la seguridad

Clasificacin de datos Archivos informatizados tienen diversos grados de sensibilidad Clasificaciones simples alta, media y baja Reduccin riesgo/costo excesivo en proteccin recursos informticos Concesin acceso datos/programas produccin por propietario Programadores aplicaciones trabajan sobre Datos/programas en

entorno de prueba

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Tcnicas de auditora

Crmenes informticos
utilizacin sistemas informticos para : robo dinero/ bienes/software/informacin manipulacin aplicaciones/datos robo ordenador. robo ideas/informacin confidencial.

Perjudiciales para: reputacin moral existencia de una organizacin.

Crmenes informticos
Amenazas Prdidas financieras directas -prdida fondos electrnicos indirectas -costos corregir exposicin al riesgo Repercusiones legales Prdida credibilidad/competitividad Chantaje/espionaje industrial Divulgacin informacin confidencial/sensible/embarazosa Sabotaje

Crmenes informticos
Causantes violaciones acceso lgico Piratas informticos (Hackers) Personal de SI Usuarios finales Ex-empleados

Crmenes informticos
Causantes violaciones acceso lgico Terceros interesados o capacitados
Competencia Potencias extranjeras Crimen organizado Piratas informticos contratados terceros (Crackers)

Personal tiempo parcial/temporal Proveedores y Consultores Externos Legos, accidentalmente

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Tcnicas de auditora

Exposiciones de acceso lgico

(1/2) Alteracin/uso/destruccin programas/datos no autorizada Manipulacin de datos es el abuso ms generalizado requiere poco conocimiento tcnico Caballos de Troya Redondeo por defecto Tcnica de la rodaja

Exposiciones de acceso lgico

(2/2) Virus informticos Gusanos Bombas lgicas Puertas traseras Ataque asncrono

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Tcnicas de auditora

Rutas de Acceso Lgico

Mtodos de acceso lgico
Consola del operador Ubicacin sala ordenador/ instalacin acceso fsico solo operadores/soporte

Terminales en lnea Cdigo usuario y contrasea acceso Software control acceso.

Rutas de Acceso Lgico

Mtodos de acceso lgico
Procesamiento diferido Acumular transacciones entrada Proceso posterior: tiempo determinado cantidad de transacciones. Restringir quin puede introducir transacciones (personal carga datos) quin puede iniciar proceso diferido (operadores/ sist. planif. trbjos Controlar procedimientos autorizacin manipulacin transacciones antes proceso.

Rutas de Acceso Lgico

Mtodos de acceso lgico
Puertos de llamada telefnica Identificar usuario remoto lnea de respuesta de llamada cdigo de usuario y software de control de acceso operador para verificar identidad

Redes de telecomunicaciones Igual que terminales en lnea

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Tcnicas de auditora

Controles de acceso lgico

Los controles de acceso lgico son el mtodo primario de gestionar y proteger los activos de informacin para reducir a un nivel aceptable el riesgo de una organizacin. Los auditores de SI tienen que entender la relacin entre los controles de acceso lgico y las polticas y procedimientos de seguridad. Para hacer esto, los auditores de SI deben ser capaces de analizar y evaluar la eficacia de estos controles para conseguir los objetivos de seguridad de la informacin.

Controles de acceso lgico

Software de control de acceso (SCA)
Es un elemento crtico para asegurar la confidencialidad, integridad y disponibilidad de los recursos de informacin. Su propsito es el de prevenir el acceso y la modificacin sin autorizacin a los datos sensibles y a la utilizacin de funciones crticas. Para conseguir este nivel de control es necesario establecer controles de acceso en todos los niveles de la arquitectura de SI Normalmente consiste en alguna forma de identificacin y autentificacin autorizacin del acceso registro e informe de las actividades de los usuarios

Controles de acceso lgico

Identificacin y autentificacin
Es el proceso de probar la identidad de un usuario la identificacin es el medio por el cual el usuario da su identidad la autentificacin el medio por el cual el usuario da una informacin (algo que solamente l conoce o tiene) que garantiza que realmente es quien dice ser.

Controles de acceso lgico

Identificacin y autentificacin
Cdigo de usuario y contrasea(1/3) Es la tcnica ms conocida de identificacin y autentificacin Lista interna de cdigo de usuario vlidos
-reglas acceso para cada usuario-

La contrasea evita la utilizacin no autorizada El cdigo de usuario da una identificacin de la persona Autenticacin proceso dos etapas: verificacin cdigo usuario vlido substanciacin validez personal por contrasea

Controles de acceso lgico

Identificacin y autentificacin
Cdigo de usuario y contrasea (2/3) Caractersticas de las contraseas Fciles recordar, difciles adivinar Primera asignacin Administrador de Seguridad Obligar a cambiar en la primera conexin A la tercera, perdi Olvido contrasea Cifradas internamente No exhibicin contrasea

Controles de acceso lgico

Identificacin y autentificacin
Cdigo de usuario y contrasea (3/3) Cambio peridico Reglas sintaxis (formato) + cuatro caracteres Combinacin caracteres alfabticos y numricos No asociable con algo especial del usuario No reutilizable Desactivacin cdigos usuario sin actividad Desconexin automtica

Controles de acceso lgico

Identificacin y autentificacin
Control acceso seguridad biomtrico Basado en caractersticas fsicas usuario huella digital patrn de la retina necesita un lector especial control de acceso muy eficaz (difcil de eludir) puede no ser eficiente en cuanto costos .

Controles de acceso lgico

Aspectos de la autorizacin
El proceso de autorizacin del acceso normalmente requiere que el sistema pueda identificar y diferenciar a los usuarios. Las reglas de acceso (autorizacin) especifican quin puede acceder a qu. Las autorizaciones de acceso deben ser dadas en base a la necesidad de saber y a la necesidad de hacer y deben quedar documentadas estas necesidades.

Controles de acceso lgico

Aspectos de la autorizacin
Cuando un auditor de SI revisa la accesibilidad al sistema, necesita saber que es lo que se puede hacer con el acceso y que es lo que est restringido. Las restricciones de acceso a nivel de fichero tpicas son: solo lectura, consulta o copia solo escritura, creacin, actualizacin o eliminacin solo ejecucin una combinacin de las anteriores. El tipo de acceso menos peligroso es el de consulta o lectura, si la informacin no es sensible o confidencial

Controles de acceso lgico

Aspectos de la autorizacin
Archivos y funciones informatizadas a proteger (1/2) Datos Utilidades Lneas telecomunicaciones Biblioteca contraseas Biblioteca soportes magnticos Software aplicaciones prueba produccin Bibliotecas Archivos temporales Software base

Controles de acceso lgico

Aspectos de la autorizacin
Archivos y funciones informatizadas a proteger (2/2) Software control acceso Archivos registros histricos Directorio/diccionario datos. Bibliotecas procedimientos Eludir funcin proceso etiqueta

Controles de acceso lgico

Aspectos de la autorizacin
Tablas de autorizacin El mecanismo de control de acceso utiliza tablas de autorizacin de acceso tambin conocidas como listas de control de acceso
(ACLs access control lists).

Las ACLs son un registro de (1) usuarios (humanos o no) a los que se ha dado acceso un determinado recurso del sistema (2) los tipos de acceso que les ha sido permitido. Las ACLs varan en cuanto su capacidad y flexibilidad algunas solo permiten especificaciones para ciertos grupos preestablecidos (p.e. propietario, grupo, resto del mundo) otras ms avanzadas permiten grupos definidos por los usuarios. otras permiten denegar explcitamente el acceso a un usuario o grupo de usuarios.

Controles de acceso lgico

Aspectos de la autorizacin
Restriccin/seguimiento acceso funciones que eludan seguridad Solo deben tener acceso a ellas los programadores de sistemas Salto del proceso de etiquetas Utilidades que permiten salir del sistema de seguridad Cdigos de usuario especiales

Controles de acceso lgico

Aspectos de la autorizacin
Convenciones nombres para el control del acceso Establecimiento propietarios datos/aplicaciones + Jefe Seguridad Su sofistificacin depende de la importancia y nivel seguridad Promover convecciones de nombres que: permitan reglas acceso eficientes simplifiquen la administracin de la seguridad

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Tcnicas de auditora

Controles sobre virus

Dos formas principales prevencin y deteccin virus: buenas polticas y procedimientos medios tcnicos Ambas necesarias

Controles sobre virus

(1/ 2) Generar sistema utilizando copias maestras originales y limpias Solo discos analizados en mquina aislada de nico propsito Actualizar el software antivirus frecuentemente Proteccin escritura disquetes .EXE .COM Demostraciones en mquinas vendedores Software antivirus estaciones trabajo y servidores. .....

Controles sobre virus

Medios tcnicos prevencin hardware estaciones trabajo sin disquetes arranque de forma remota contraseas basadas en el hw proteccin escritura disquetes. software antivirus

Controles sobre virus

Software antivirus
Eficaz solo si actualiza peridicamente

Escneres
buscan secuencias bits examinan memoria/sectores arranque/ficheros

Monitores activos
interceptan llamadas SO y BIOS buscando acciones virus molestos (no pueden distinguir petic. usuario/programa/virus)

Chequeadores integridad
se calcula nmero binario (CRC) sobre programa libre virus se almacena CRC en BD se recalcula y compara cada vez que se invoca al programa

Tema 6. Contenido
Objetivos del tema Elementos clave de la gestin de la seguridad Crmenes informticos Exposiciones de acceso lgico Mtodos de acceso lgico Controles de acceso lgico Controles sobre virus Auditora de la seguridad lgica

Auditora de la seguridad lgica

Gestin de la seguridad Acceso lgico Prueba de las prcticas y procedimientos de seguridad

Auditora de la Gestin de la Seguridad

Consiste en la revisin del marco de la gestin de la seguridad en la organizacin

Auditora de la Gestin de la Seguridad

Percepcin seguridad y entrenamiento formales
La eficacia de la seguridad siempre depende del personal Los empleados deben saber: qu se espera de ellos cuales son sus responsabilidades razones medidas de seguridad puertas cerradas utilizacin cdigos de usuario repercusiones violacin seguridad.

Auditora de la Gestin de la Seguridad

Percepcin seguridad y entrenamiento formales
El entrenamiento debe comenzar con un proceso de orientacin de la seguridad Incrementar la percepcin: revistas internas cumplimiento ostensible y coherente normas de seguridad pequeos recordatorios en reuniones con el personal. Programa a cargo administrador Seguridad. Determinacin eficacia programa entrevistar muestra empleados

Auditora de la Gestin de la Seguridad

Propiedad de los datos
Responsabilidad seguridad datos debe estar distribuida Posibilita establecer un sistema de asignacin de responsabilidades. TAs Determinar asignacin correcta propiedad datos Determinar percepcin responsabilidad

Auditora de la Gestin de la Seguridad

Propiedad de los datos
Propietarios de datos autorizar acceso asegurarse actualizacin reglas acceso cuando cambios personal inventario peridico reglas de acceso de sus datos Custodios de datos Responsables almacenar/salvaguardar los datos Administrador de Seguridad Usuarios de datos Acceso: - autorizado por Propietarios datos - controlado por Admon. Seguridad Cumplir polticas / cuidado con personas no autorizadas en reas de trabajo

Auditora de la Gestin la seguridad

Autorizaciones documentadas
El acceso a los datos debe estar autorizados por escrito. TA Determinar correcto nivel autorizacin por escrito.
-solo propietarios datos pueden autorizar el acceso a los datos de su propiedad-

Auditora de la seguridad lgica

Gestin de la seguridad Acceso lgico Prueba de las prcticas y procedimientos de seguridad

Auditora del acceso lgico

Obtener un conocimiento general de los riesgos de seguridad revisando documentacin relevante, preguntando, observando y evaluando riesgos Documentar y evaluar los controles sobre las posibles vas de acceso al sistema revisando los aspectos de seguridad del hardware y el software e identificando deficiencias y redundancias Probar los controles sobre las vas de acceso utilizando tcnicas de auditora apropiadas.

Auditora del acceso lgico

Evaluar el entorno de control de acceso analizando los resultados de las pruebas y otras evidencias de auditora obtenidas Evaluar el entorno de seguridad revisando las polticas por escrito, observando las prcticas operativas y los procedimientos

Auditora del acceso lgico

Familiarizacin con el entorno de procesamiento de la informacin
Necesaria para una evaluacin eficaz de los controles de acceso lgico Su propsito es determinar en qu reas hay que poner el foco de la auditora. Consiste en revisar todos los niveles de seguridad asociados con la arquitectura de sistemas de informacin red plataforma de sistema operativo base de datos aplicaciones

Auditora del acceso lgico

Familiarizacin con el entorno de procesamiento de la informacin
Consiste en obtener una clara comprensin del entorno gerencial, tcnico y fsico del centro de procesamiento de la informacin. Tpicamente incluye: entrevistas, recorridos fsicos, examen de documentos y evaluacin de riesgos.

Auditora del acceso lgico

Documentacin vas acceso
Ruta lgica que utiliza usuario para acceder informacin.

Terminal(PC) ---------------hw + sw-------------------Datos

TA: comprobar implementacin y seguridad acceso fsico/lgico

Auditora del acceso lgico

Documentacin vas acceso
Secuencia del acceso lgico (1/4) El usuario utiliza un Terminal (PC) para acceder al sistema terminal resguardado fsicamente cd usuario/contrasea cumplan restricciones establecidas. Software Telecomunicaciones (ST) intercepta cdigo usuario direcciona al enlace telecomunicaciones correcto. TA: Aseguramiento aplicaciones definidas para ST controles/funciones telecomunicaciones adecuados y aprobados Conveniente contar con ayuda analista software sistemas

Auditora del acceso lgico

Documentacin vas acceso
Secuencia del acceso lgico (2/4) Software proceso transacciones dirige transacciones al software aplicacin. TA: correcta identificacin usuario autorizacin usuario acceso aplicacin Tablas internas restringidas Admon. Seguridad.

Auditora del acceso lgico

Documentacin vas acceso
Secuencia del acceso lgico (3/4) Software Aplicacin procesa transacciones segn lgica programa TA acceso bibliotecas programas produccin lgica programa cumple requerimientos SGBD dirige el acceso a los datos TA elementos datos identificados en DD acceso DD solo Admon BD elementos datos con control acceso

Auditora del acceso lgico

Documentacin vas acceso
Secuencia del acceso lgico (4/4) Datos aplicacin. Software control acceso (SCA) refuerza seguridad componentes ruta acceso TA: componentes ruta acceso definidos para SCA reglas acceso definen quin sobre qu principio necesidad de saber Acceso tablas seguridad solo Admon. Seguridad.

Auditora del acceso lgico

Entrevistas personal sistemas
Fuente informacin valiosa para comprensin seguridad. Reunin gerente SI Revisar organigramas/perfiles personal Personal clave a entrevistar Admon Seguridad Gerente Control Red Gerente Software Sistemas

Auditora del acceso lgico

Realizar un examen de los informes generados por el SCA
Los informes generados por el SCA brindan al Administrador de Seguridad la oportunidad de monitorizar el cumplimiento de las polticas de seguridad Mediante la revisin de una muestra de los informes, el Auditor puede determinar si se suministra suficiente informacin para respaldar una investigacin si el administrador de seguridad realiza una revisin eficaz de estos informes. Los intentos infructuosos de acceso deben ser informados, identificando la hora, el terminal, los datos de conexin y el archivo al cual se intent acceder.

Auditora de la seguridad lgica

Gestin de la seguridad Acceso lgico Prueba de las prcticas y procedimientos de seguridad

Prueba de las prcticas y procedimientos seguridad

Utilizacin tarjetas y llaves terminales tomar muestra intentar lograr acceso no autorizado verificar si seguimiento intentos violacin Identificacin del terminal Obtener listado direcciones/ubicaciones terminales. Inventariar terminales registrados incorrectamente /faltantes / adicionales. Verificar identificados en Diagrama de Red -muestreo-

Prueba de las prcticas y procedimientos seguridad

Cdigos usuario y contraseas Intentar adivinar contrasea muestra cdigos usuario de empleados Buscar contraseas cerca terminales/interior cajones/papeleras Verificar contraseas estn cifradas en tablas.

Prueba de las prcticas y procedimientos seguridad

Cdigos usuario y Contraseas Autorizacin acceso Muestreo documentos autorizacin acceso Autoridad correcta Autorizacin por necesidad de saber. Obtener informe reglas acceso y muestrear determinar si acceso por necesidad de saber emparejar muestra reglas con documentos autorizacin

Cambio peridico Entrevistar muestra usuarios

Prueba de las prcticas y procedimientos seguridad

Cdigos usuario y Contraseas Borrado contraseas inactivas obtener listado cdigos de usuario activos Emparejar lista con empleados actuales -muestreoSintaxis contraseas Intentar crear contraseas formato invlido demasiado corta/larga, repeticin contrasea anterior, ...... Desconexin automtica Tiempo Conectarse y esperar N Intentos Equivocarse varias veces Procedimiento reactivacin

Prueba de las prcticas y procedimientos seguridad

Controles recursos de produccin Utilidades Bibliotecas LCT (JCL) Parmetros software sistemas TA Quin puede tener acceso recursos Qu puede hacerse con ese acceso. Acceso por necesidad de saber.

Prueba de las prcticas y procedimientos seguridad

Registro y generacin informe violaciones acceso ordenador Intentar accesos no autorizados. Prueba coordinada con propietarios datos y Admon Seguridad

Seguimiento de las violaciones de acceso Obtener muestra informes seguridad Buscar evidencia seguimiento e investigacin violaciones de acceso. Indagar casos no seguimiento

Prueba de las prcticas y procedimientos seguridad

Identificacin mtodos eludir seguridad y controles compensatorios rea revisin muy tcnica. Analista software de base / Gerentes Red, Operaciones, Admon Seguridad Uso funciones eluden seguridad: registradas, informadas, investigadas por Admon. Seguridad/Gerente Software Base Desactivadas funciones salto seguridad innecesarias Sometidas a controles de acceso lgico

Prueba de las prcticas y procedimientos seguridad

Revisin procedimientos administracin contraseas Determinar lo siguiente: Existencia procedimientos aadir/borrar individuos listas CA cambiar sus derechos Existencia procedimientos aseguramiento no divulgacin contraseas Contraseas generadas longitud adecuada, no fciles adivinar Cambio peridico contraseas Gerentes usuarios validan derechos acceso a su personal Suspensin cdigos usuarios/ inhabilitacin terminal tras un n violaciones Identificacin fsica sede CPD discreta y reservada.