Modelo para La Auditoría de La Seguridad Informática en La Red de Datos de La Universidad de Los Andes, Venezuela

Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
Modelo para la Auditora de la Seguridad Informtica en la Red

de Datos de la Universidad de Los Andes, Venezuela
ReinaldoMayol,JacintoDvila
Resumen
En este artculo presentamos un modelo lgico para gestionar la auditoria de seguridad
informticadeunaInstitucinUniversitaria.Auditar,demaneracorrecta,losmecanismos
deseguridadutilizadosenelofrecimientodelosserviciosdeTecnologasdeInformacin
(IT)esunodeloselementosfundamentalesparaelxitodeestalabor.EltrminoAuditar
Correctamenteincluyevarioselementosimportantes,unodeellosescontarconunmodelo
deauditora completo, equilibrado ytcnicamentecorrecto.Estedocumentoproponeun
modelodeauditoradelaseguridadinformticaparaaquellosserviciosdeITqueseofrecen
porRedULAparalaUniversidaddeLosAndes,Venezuelayextensibleacualquierentidad
decaractersticassimilares.
Thispaperintroducesalogicalmodeltoguidetheprocessesofauditingtheinformation
servicesofanacademicinstitution.Auditingisacrucialelementtomaintainthelevelof
qualityandconfidenceontheinformationservicesprovidedbyanyinstitution.Weaimedto
produceawellorganized,modularsetofruletoperformauditingandweactuallytestedthis
model,aswecallit,forthedataservicesofUniversidaddeLosAndes,inVenezuelaorany
similarinstitution.
Reinaldo Mayol Arnao <mayol@ula.ve>, Centro de Tecnologas de Informacin, ULA

Jacinto Dvila Alfonso <jacinto@ula.ve>, Centro de Simulacin y Modelos, ULA
Introduccin
Enesteartculopresentamosunmodelolgicoparagestionarlaauditoriadeseguridadinformtica
deunaInstitucinUniversitaria.LareddedatosdelaUniversidaddeLosAndes,RedULA,en
Venezuela,havenidocreciendodemanerasignificativaenlaltimadcada.Juntoconel
crecimientofsicodelared,lohanhechotambinlosserviciosqueseofrecenutilizndolacomo
plataformadetransporte.Conunaredtanextendida,tecnolgicamentediversayconunavariedad
significativadeactores,serviciosyusuarios,esfcilquecomiencenaocurrirerroresydesviaciones
quepuedencomprometerlapropiasubsistenciadelaredcomounentornoefectivodetrabajo.Esta
realidadimponelanecesidadderealizarprocesosdeauditoradelfuncionamientodelaredque
permitandetectarproblemasgraves,establecerpatronesdecomportamiento,realizarplanificacin
decrecimientoeinclusodetectarproblemasincipientesquepudiesenponerenriesgolaoperacin
futuradelared.
El uso de modelos durante el proceso de auditora es importante, no slo para garantizar la
consecucinderesultadoscorrectosycompletos,sinotambinparagarantizarqueunequipode
profesionales obtenga un resultado homogneo, reduciendo la importancia de los niveles de
pericia,instruccin,audacia,conocimientodelaorganizacinauditada,relacinconlosauditados,
experienciayotrosdelauditor.
Descripcin del Modelo Propuesto.

Elmodeloesunadescripcingeneraldecmosedebeprocederpararealizarunaauditorade
seguridadyestconstituidoporgruposdereglasypruebasagrupadasenmdulos,paraguiarla
conductadelpersonalencargadodelaauditora.
Estructura detallada del modelo

Laestructuradelmodelopropuestohasidoestablecidasiguiendolaformacomnderealizarun
procesodeauditora,especficamenteunodeSeguridadInformtica.Existen4mdulos:
A)
B)
C)
D)
Definicindelascondicionesparalaauditora.
Definicindelascaractersticastcnicas
Pruebasdepenetracin
Revisionesdelasconfiguraciones.
Definicin de
las
condiciones
Definicin de
las
caractersticas
tcnicas
Ilustracin 1: Mdulos de Modelo
Pruebasde
Penetracin
Revisiones
Como usar el modelo

Cadamdulofuncionacomounsistemaautocontenido,permitiendounavisingeneralencierto
aspecto de la seguridad informtica del sitio auditado. Los mdulos estn compuestos por
secciones.Lasseccionesasuvezseconformanporreglas.Unaregla involucra,adems,un
conjuntodepruebas.
Elordenenqueseejecutenlasseccionesdentrodeunmdulonormalmentenoessignificativo.
Cuandoloes,explcitamentesesealanloselementosprelatorios.Elordenenqueseejecutanlas
pruebasylasreglasdentrodeunaseccinsuelesersignificativo.Dentrodeunmduloelauditor
tienelibertaddeejecutaronounaseccindeacuerdoavariosfactores,entreelloselobjetivodela
auditoraolascaractersticastcnicasdelaplataformaqueseaudita.Lailustracin2muestrala
estructuradescritaenesteprrafo.
Elauditorpuedeutilizarelmodelodesdeelmduloinicialhastacompletarelmdulofinal.Cada
mdulopuedetenerunarelacinconlosmdulosadyacentes.Cadaseccinpuedeteneraspectos
interrelacionados a otros mdulos y algunas se interrelacionan con todas las otras secciones.
Durante la ejecucin de cada regla, o incluido de una prueba, se van produciendo las
recomendacionesqueconformarnelinformefinaldeauditora.
Elauditornodebeesperarqueelmodelosustituyatotalmentesu experiencia,su intuicinyel
anlisisdelascondicionesespecialesdecadasitioauditado.Porelcontrario,elmodelosebasaen
ellosysloestableceunpatrnaseguirparaobtenerresultadosacordesalasnecesidadesdeuna
organizacincomolaUniversidaddeLosAndes.
Cadamdulodebetener valoresdesaliday puedeteneralgunosdeentrada.Laentradaesla

informacin usada en el desarrollo de cada tarea. La salida es el resultado de las secciones
completadas.Lasalidapuedeonoserdatosanalizadosparaservircomoentradaparaotromdulo,
recomendaciones que conformarn el informe final o simplemente datos que soporten las
recomendaciones.Puedeocurrirquelasalidadeunmdulosirvacomoentradaparamsdeun
mdulooseccin.Ej.LadefinicindelespectrodedireccionesIPaauditarsirvendeentradapara
variasotrasseccionescorrespondientesaotrosmdulos.
Comoreglageneraltodomdulodebetenervaloresdesalida[HMATS].Unmdulosinsalidas
puedesignificarunadetrescosas:
Laspruebasnofueronejecutadasapropiadamente.
Laspruebasnoseaplicaban.
Losdatosresultantesdelaspruebasseanalizaroninapropiadamente.
PARA Definir arquitectura sin conocimiento desde la Internet
R
E
G
L
A
1. Utilizando herramientas de bsqueda automatizada definir

1.1 SI es posible identificar Puntos de conexin de la red con el
exterior ENTONCES Recomendar revisar las polticas de control de
acceso y transferencia de informacin va ICMP, SNMP, etc...
1.2 SI es posible identificar Servidores visibles desde el exterior
ENTONCES
PARA caracterizar servidores visibles desde el exterior
Definir Versin de los servicios visibles desde el exterior. PRUEBA
Definir Servicios que se ofrecen.
Definir Informacin de la organizacin obtenible a partir de los servicios
que se ofrecen
Buscar servicios que no debiesen ser expuestos al exterior.
SI es posible identificar Rango de direcciones disponibles
ENTONCES Recomendar revisar las polticas de control de acceso y
transferencia de informacin va ICMP, SNMP, etc...
Ilustracin 2: Una seccin del modelo conformada por varias reglas y pruebas
Entotalexistenaproximadamente350pruebasagrupadasenlos4mdulosantessealados.
Del lenguaje en que se ha escrito el modelo

Asabiendasdequelabaseconceptualesamplia,lacantidaddereglasesextensaymuchasveces
requiereconocimientosespecficosdeherramientas,tcnicaseinclusociertoniveldeexperienciay
habilidades,hemostratadodemantenerellenguajeconlamayorsencillezposible.
Elmodeloestformadonoporunaseriedeaccionesquesedebenseguircomounareceta,sinopor
unconjuntodefuncionesindividuales,casisiemprecorrespondientesaunaseccinoinclusoauna
regla que pueden ser utilizados libremente por el auditor, siempre y cuando cumpla los
requerimientosdeentradadedatosdelafuncin.
Lasintaxisutilizadaeslasiguiente:
PARAObjetivoacciones
SI Condicin ENTONCES AccionesoConclusiones [DELOCONTRARIO Accioneso
Conclusiones]
Sehansubrayadolaspalabrasreservadasporellenguajeparaquenoseanconfundidasconpartedel
textodescriptivo.Lasaccionespuedenserreglasollamadasaotrasseccionesosimplementeuna
prueba.
Porobjetivoseentiendelametaquesebuscaalcanzaralrealizarunadeterminadaaccin. Una
condicin es uno o varios elementos que deben ser evaluados previamente y que definen el
ambientedeejecucindelasaccionesquesiguen.Unacondicinpuededefinirlapertinenciadela
ejecucin de una accin ulterior. Las conclusiones se refieren a las recomendaciones que el
resultadodelaejecucindeunaaccinindican y quedebenserpartedelinformefinal.Los
elementosencerradosentrecorchetessonopcionales.
Una accin pueden ser grupos de subtareas o acciones individuales. Las subtareas pueden
encontrarseinmediatamenteenlaseccinoserllamadasaotrasfuncionesinclusofueradelmdulo
queseejecuta.
Veamos nuevamente elejemplo utilizado anteriormente identificando cada unalas partes dela
sintaxisdescrita.
Objetivo
PARAVerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdel
tipoDoS
VerificaropcinMaxDaemonChildren.SI"lapruebafalla"ENTONCESRecomendar
corregirestasituacin .
Accin
Condicin
Conclusin
Ilustracin 3: Ejemplo de la sintaxis
Comopuedeobservarse, loscriteriosquesedan paradefinirlafallaonodeunapruebason

referenciales.Nopuedeserdeotraforma.Lasvaloresquesirvenparaunacondicinpuedenser
insuficientesparaotra.Poresaraznnoshemoslimitado,enlamayoradeloscasos, adarlos
criteriosparaqueseaelauditorquiendefina,deacuerdoamltiplesfactoresquedependendelas
condicionesenqueejecutalaauditora.
Descripcin de los mdulos que conforman el modelo

Enestaseccindefiniremosmsendetallelosobjetivosdecadamdulo,elporqudesuseleccin,
ascomodelasseccionesquelocomponen.
Mdulo: Definicin de las condiciones
Elobjetivoprincipaldeestemduloesdefinirlosdetallesdelprocesodeauditoraarealizar.Este
mdulo debesiemprerealizarseantesdeliniciodelprocesodeauditora. Cualquierprocesode
auditora debe comenzar definiendo los detalles que constituyen la salida de este mdulo. Al
ejecutarlolosresponsablesdeauditoradebensercapacesdedefinir:
ObjetivosGenerales.
Alcance.
Necesidadesdeinformacinparaeliniciodelaauditora.
Conformacindelequipoauditor.
Requerimientostcnicosdelequipoauditor.
Conformacindelacontraparte.
Cronogramadeentregas.
Requisitosdeconfidencialidadyretornodeinformacin.
Condicionesdegarantadelosresultados.
Estaetapadelprocesodeauditoraesposiblementemsgerencialquetcnica,yesunadelasms
importantes. Una auditora de calidad debe enfocarse en criterios claramente definidos y
documentados.
Paraasegurarlaobjetividaddelprocesodeauditora,susresultadosycualquierconclusin,los
miembrosdelequipoauditordebenserindependientesdelasactividadesqueauditan,debenser
objetivos,ylibresdetendenciaoconflictodeinteresesduranteelproceso.[KLHCA]
Ademsdeladefinicindemetas,objetivosyelalcanceunodeloselementosfundamentalesque
debe salir de este mdulo es la conformacin del equipo auditor. Dicho equipo debe ser una
combinacinadecuadadeconocimientostcnicosyexperienciacomoauditor.
Mdulo definicin de las caractersticas tcnicas
Elobjetivofundamentaldeestemduloesdefinirlosdetalles delaredqueserauditada.El
mismodeberealizarseANTESdeliniciodelaspruebasyrevisionesyDESPUSdehaberdefinido
lascaractersticasdelprocesodeauditora.
Comoresultadodelaejecucindelmdulo,elequipoauditordebeobtenerelinventariocompleto
delaarquitecturaquedeberserauditada,incluyendo:
Espaciodedirecciones
Mecanismosdedistribucindedirecciones
Descripcindeconexiones
Dispositivosdered
Servidores
Estacionesclientes
DispositivosdeSeguridad
Estemduloestcompuestoporlassiguientessecciones:
A)
B)
C)
D)
E)
F)
G)
CaracterizarelrangodeIPqueutilizalaorganizacin
DefinirlaformaenqueseasignanlasdireccionesIPdelaorganizacin
Definirlosdispositivosdered
Definirestructuradedominios
Caracterizarlosenlacesdecomunicacionesexistentes
Caracterizarcadaequiposervidor
Caracterizarequiposclientes
Cada seccin de las mencionadas anteriormente est constituida por varias pruebas. Luego de
ejecutarelmdulo, elequipoauditordeberatenerunavisinmuycompleta,desdeelpuntode
vistatcnico,delsitioaauditar.Muchasvecesesteconocimientopermitevalidaroinclusodesechar
informacinofrecidaporelauditadoenelprimermdulo.Talfueelcasodelescenarioenquese
probelmodeloyqueserdescritomsadelanteenestedocumento.
La participacin del auditor en este mdulo es activa. Los resultados se obtienen realizando
pruebas,algunasdeellasinclusointrusivas,enlareddelauditado.
Mdulo Pruebas de Penetracin
Estemdulodefinelasaccionesallevaracabopararealizarpruebasdepenetracinexternase
internassobrelaarquitecturabajoestudio.
Paralaejecucindelaspruebasdepenetracindebenseguirselassiguientesreglas[MSSPT]:
Lapruebadepenetracindeseguridadseiniciarecopilandotodalaposibleinformacin
relativaalainfraestructuraylasaplicacionesinvolucradas.Estepasoesfundamental,ya
que sin un conocimiento slido de la tecnologa subyacente, podran omitirse algunas
pruebasdurantelafasedepruebas.
Losauditoresdeberanintentarexplotartodaslasvulnerabilidadesdescubiertas.Ancuando
la explotacin falle, el auditor obtendra un mayor conocimiento del riesgo de la
vulnerabilidad.
Cualquierinformacinobtenidaverificandolasvulnerabilidades(porejemplo,erroresde
programacin,obtencindecdigofuente,uotrodescubrimientodeinformacininterna)
deberautilizarseparavolveraevaluarelconocimientogeneraldelaaplicacinycomose
ejecutasta.
Si,encualquierpuntodurantelaprueba,sedetectaunavulnerabilidadquepuedallevaral
compromisodelobjetivoopuedamostrarinformacincrticaparalaorganizacinauditada,
debeponerseencontactoinmediatamente conlacontraparte auditada yhacerquetome
concienciadelriesgoinvolucrado.
Esimportanteentenderlaposicindelauditordurantelaejecucindelaspruebasdepenetracin.
Elauditordebecomportarsecomounatacantequebuscaencontrarsitiospordondepenetrary
luegocomprometerlainfraestructuradeITdelaorganizacinauditada.Eneseprocesoobtenerla
mayorcantidadposibledeinformacindelaorganizacinnoesunprocesorepetitivo(tomandoen
cuenta los mdulos anteriormente ejecutados del modelo). Aqu el objetivo ylos mtodos son
diferentes.Sebuscaencontraraquelloqueunintrusopudiesellegaraconocerdelaorganizacin.
No debe olvidarse que el conocimiento detallado de la organizacin es uno de los primeros
elementosqueprocurarunatacante.Veamosunejemplo.Elatacantesabequelaorganizacinala
quedeseaatacartieneunservidorWEBpero,Queversinposeedeldemonioweb?Sepermite
quelosusuarioscoloquensuspropiaspginas?Qusistemaoperativoestcorriendoelservidor?
[SILHTCP][SHENS][MSSPT][FORUG].
Estossonalgunosdeloselementosqueelatacantedesearaconocerantesdecomenzarsuataque.
Otro ejemplo fue obtenido de la ejecucin de las pruebas del modelo: durante el proceso de
auditorasedescubrielrangodedireccionesprivadasdelsitioauditado,comoconsecuenciasde
erroresenlaconfiguracindeservicioDNS.Estainformacinnohabasidosuministradaaliniciar
elprocesodeauditoraypermitiaccederdemaneramssencillaainformacinconfidencialdel
sitioauditado.
Unavezconocida,siguiendolosmtodosdeunatacante,lamayorcantidaddeinformacindela
empresaauditadaelsiguientepasoserverificarlasvulnerabilidadesyerroresdelasaplicaciones
queseidentifiquen.Enesteprocesoesmuyimportantedescartarfalsospositivosynegativos1.
Lasalidadelmdulodebeseruninventariocompletodelasvulnerabilidades(incluyendoelacceso
a informacin de la organizacin, los sistemas, etc...) y errores encontrados con sus
correspondientesnivelesdeponderacinyunglosariodelasevidenciasquesoportenloshallazgos
realizados.
A)
B)
C)
D)
E)
F)
G)
H)
I)
DefinirarquitecturadeITsinconocimiento
GenerarcondicionesdeDoS2
EjecutarPruebascontraFirewalls
IdentificarvulnerabilidadesenServidoresWEB
IdentificarerroresbsicosdeconfiguracinenservidoresSMTP
Identificarerroresbsicosdeconfiguracinenambientesinalmbricos
IdentificarerroresdelaconfiguracinbsicadeservidoresUnixGNU/Linux
Fisgonearinformacinsensibleenlared
IdentificarerroresbsicosdelaconfiguracindeservidoresWindows
Dependiendodelascaractersticastcnicaspudiesenoaplicartodaslassecciones.Laseleccinde
losobjetivoshasidorealizadatomandoencuentalosserviciosdeRedULAypudiesenservirpara
lamayoradelasorganizaciones.
Mdulo Revisiones de las Configuraciones
Aunquelarealizacindelaspruebasdepenetracinesun elementomuyimportanteydauna
visindeloqueunintrusopudiesehacer,noessuficiente.Existenotrasmuchascondicionesde
riesgo que no sern encontradas durante un proceso de intrusin y que sin embargo pudiesen
acarrearproblemasdeseguridad.Pongamosunejemplo:unaparticindediscodeunservidorcon
poco espacio, consecuencia de una mala planificacin de capacidades, pudiese significar la
paralizacindeunservicioperodifcilmenteserencontradaporunintruso.Supongamosqueun
intrusodeseaprobarelsistemadecorreodeunaorganizacin.Parahacerlogeneracorreoscon
direccionesfalsas(falsoelnombredeusuario,noeldominio).Encondicionesnormaleselsistema
reenviaraldominiodedestinoelmensajeyrecibirunmensajedequeelusuarionoexiste.Este
procesollevaraaumentareltamaodelascolasdecorreoyeventualmenteharcolapsaraun
sistema mal dimensionado. El atacante posiblemente buscaba otro objetivo pero consigui la
paralizacindelsistemadecorreo[ZWBIF].Ejemplosdeestetipoexistenmuchos.
1 Situaciones que parecen errores pero no lo son y viceversa, situaciones que parecen normales y que en realidad
esconden errores o vulnerabilidades serias.
2 Negacin de Servicios
Porlaraznantesexpuestasehacenecesariountipodeauditorasistemtica,enlaqueelauditor
revisaungrupodeelementosadicionalesqueestnrelacionados.Encontrarestetipoderelaciones
eselobjetivodelmdulomsextensoycomplejoqueincluyeelmodelo:LasRevisiones.
A)
B)
C)
D)
E)
F)
G)
H)
I)
RevisindelaSeguridadFsica
RevisindeServidoresUNIX
RevisindeServidoresyEstacionesWindows
RevisindeServidoresSendmail
RevisindeServidoresApache
Revisindelainfraestructurainalmbrica
RevisindelSistemadeDeteccindeIntrusos
RevisindeDispositivosFirewalls
RevisindelasPolticasdeSeguridad
Esteeselmdulomasextensoycomplejodelmodeloyreuneaproximadamenteel60%delas
reglasyaccionespresentesenelmismo.Lasalidadelmduloesuninventariocompletodelas
vulnerabilidades detectadas durante el proceso de revisin sistmica as como de las
recomendacionesparasuperarlascondicionesencontradas.Talcomoconlosotrosmdulos,cada
regla o prueba tiene asociado un nivel de ponderacin que permitir al auditor dar un valor
cuantitativo final del nivel de seguridad del auditado. A continuacin describiremos con ms
detallescadaunadelasseccionesqueconformanestemdulodelmodelo.
Ponderacin de los Resultados

Unaentidadauditadaestarmuyinteresadaenobtener,comoresultadodelprocesodeauditora,un
listado completo de las condiciones de riesgo a las que est sometida su infraestructura de
informacin.Sinembargo,estambinmuyimportantedefinircuantitativamenteelpesoespecfico
de cada condicin hallada. Como es de suponer no todos las vulnerabilidades, errores y otras
condicionessignificanigualnivelderiesgoparalaintegridad,disponibilidadyconfidencialidadde
lainformacinylosmediosquelasoportan[CRISPMS].
Esta ponderacin es desumaimportancia para la definicin del necesario procesoulterior de
correcciones,todavezquesiempredebecomenzarseporaquellascondicionesqueimpliquenmayor
nivelderiesgo.Lailustracinno.4muestralarelacinentreelordenenquedebenejecutarselas
correccionesyelnivelderiesgoquelasvulnerabilidadesencontradastienen.Comosemuestraenla
ilustracin las vulnerabilidades (marcadas como puntos blancos)queseencuentran dentrodel
rectngulorojodebenserlasprimerasasercorregidastodavezconstituyenlosmayoresriesgos.
Establecernivelesdeponderacinparacadapruebasueleserunprocesomascomplejodeloque
pareceaprimeravista,debidoalniveldesubjetividadquepuedeacarrearylalosmltiplesfactores
quedebentomarseencuenta(porejemploloqueesmuycrticoparaunaorganizacinpuedeno
serlo para otra). Para hacerlo nos hemos basado en dos fuentes y tratado de conjugar sus
resultados. Laprimera hasidolacategorizacin de los resultados quecomnmente hacenlas
herramientasdebsquedadevulnerabilidadesautomatizadas(alto,medioybajo).Lasegunda
fuentefuelaMetodologaAbiertaparaPruebasdeSeguridad[HMAST].
Alto
Primeras
Correc cion
es
R
I
E
S
G
O
Bajo
Baja
Prioridad
Alta
Ilustracin 4: Ponderacin de los resultados y su relacin con el orden de

las correcciones
Las ponderaciones que se ofrecen en el modelo son puramente referenciales. El auditor tiene
capacidaddevariarlaponderacinsugeridaparaunapruebadebidoacondicionesespecficasdel
sitioaauditarodelaspropiascondicionesenqueseejecutalaprueba. Porejemplo,transmitir
datoscrticossincifraratravsdelaredpuedeconsiderarsecomounacondicindealtoimpacto
debidoalaposibilidaddequealguienaccedafsicamentealmedioyescuche,cambieodestruya
lainformacinmientrasviajaporlared.Sinembargo,estaponderacinpudiesevariarsiaccedera
losmediosdetransmisin,losextremosdecomunicacinocualquieradelaspartespordondeviaja
lainformacin es fsicamente prohibitivo. Laponderacin delosniveles seriesgohasido
establecidaporcadaprueba,entendiendoquelaponderacindelrestodelasunidadessuperioresen
quehasidodivididoelmodelo(mdulos, seccionesyreglas)puedeobtenerseapartirdeestas
sistemticamente.
Conclusiones y Recomendaciones
Eneltrabajopresentadosehaproducidounextensomodelolgico(aproximadamente250reglas)
paragestionarlaauditoriadeseguridadinformticadeunainstitucin,quecubrelasreasms
importantes para el desarrollo seguro de la Red de Datos de la Universidad de los Andes y
establecelosprocedimientosylosmecanismosgenricosparaauditarla.
Elmodelofuesometidoaunava.lidacin.LaarquitecturadeTIydeseguridaddeladependencia
que se utiliz para realizar la prueba del modelo fueron modificadas para atender las
recomendaciones emanadasdelautilizacinqueseproponeenestetrabajo.Lautilizacindel
modelonoslopermitidetectarcondicionesderiesgoenlaplataformayaexistente,sinotambin
detectarinsuficienciasimportanteseneldimensionamientodelequipamientoycarenciasentemas
vitalescomolasPolticasdeSeguridadInformtica.
Alutilizarunmodeloqueofreceprocedimientosysalidasnormalizadoslosauditorespuedenvolver
aauditar,unavezrealizadaslascorrecciones,yverificarconmayorfacilidadquelascondicionesde
riesgodetectadashansidocorregidas.
Elmodelohasidodesarrolladoconunenfoqueintermedioentreunavisindealtonivel,muy
separadadelaarquitecturaquesoportalosserviciosyunaposicindemuybajonivelquehagael
modelomuydependientedelaarquitectura. Larazndehacerlodeestaformaesobteneruna
herramientatilparaelencargadodeauditoraperoqueasuvezpuedatrascendercambiossimples
delaarquitectura.
Elmodelopuedeserutilizadonosloparaauditar,puedeservistotambincomounaguade
mandatosbsicosparaasegurarunsitio.Enestemomentotambinestsiendoutilizadodeesa
formaporelequipodeSeguridadInformticadeRedULA.
Alcrearunmodeloqueincluyeunaseriedereglasquepuedenserutilizadascomocriteriosde
buenasprcticas deseguridadelmodeloigualmentepuedeserutilizadoparalainstruccin del
personaltcnicoenloselementosbsicosdeseguridadinformtica.
Portodosloselementosantesexpuestosquesehancumplidoconlosobjetivosplanteadosyhemos
creado una herramienta til y verstil para la auditora y otras funciones necesarias para la
seguridadinformticadelaReddeDatosdeLaUniversidaddeLosAndes.
ReferenciasBibliogrficas
[HMATS]HerzogP.,MetodologaAbiertadeTesteodeSeguridad2.1(2003),Institutefor
SecurityandOpenMethodologies.
[MSSPT]MainstreamSecurityINC,SecurityPenetrationTesting,URL:
http://www.mainstream.net/security_howto/security_penetration_testing.shtml
[SHENS]StuartMc.,HackingExposed:NetworkSecurity,4thedition,(2003),McGrawHill
[SILHTCP]SilesR.HackingTCP/IP,(2003)EE.UU,GNUFreeSoftwareFoundation
[ZWBIF]ZwickyT.BuildingInternetFirewalls,(2003),EE.UU:O'RellyMediaInc.
[KLHCA]KlarpJ.,HowtoConductaSecurityAudit.(2000),PCNetworkAdvisorURL:
http//www.itpjournal.com
[CRISPMS]CressonCh.,InformationSecurityPoliceMadeEasy,(2002)EE.UU,Pentasafe

Modelo para La Auditoría de La Seguridad Informática en La Red de Datos de La Universidad de Los Andes, Venezuela

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modelo para La Auditoría de La Seguridad Informática en La Red de Datos de La Universidad de Los Andes, Venezuela

Cargado por

Copyright:

Formatos disponibles

Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)

Modelo para la Auditora de la Seguridad Informtica en la Red

Reinaldo Mayol Arnao <mayol@ula.ve>, Centro de Tecnologas de Informacin, ULA

Descripcin del Modelo Propuesto.

Estructura detallada del modelo

Ilustracin 1: Mdulos de Modelo

Como usar el modelo

Cadamdulodebetener valoresdesaliday puedeteneralgunosdeentrada.Laentradaesla

PARA Definir arquitectura sin conocimiento desde la Internet

1. Utilizando herramientas de bsqueda automatizada definir

Del lenguaje en que se ha escrito el modelo

Ilustracin 3: Ejemplo de la sintaxis

Comopuedeobservarse, loscriteriosquesedan paradefinirlafallaonodeunapruebason

Descripcin de los mdulos que conforman el modelo

Mdulo: Definicin de las condiciones

Mdulo definicin de las caractersticas tcnicas

Mdulo Pruebas de Penetracin

Mdulo Revisiones de las Configuraciones

Ponderacin de los Resultados

Ilustracin 4: Ponderacin de los resultados y su relacin con el orden de

También podría gustarte