Auditoria Computacional Unidad 4.

Seguridad de Sistemas

Unidad 4. Seguridad de Sistemas Controles Generales Continuidad del Servicio

Caso de Estudio El inspector es contratado para detectar la vulnerabilidad del Sistema y encontrar dnde se produce el problema que no permite la disponibilidad de servicio las 24 horas del da los 7 das de la semana. Evaluacin de las Redes de Computadores La evolucin de la tecnologa y la disminucin constante de los costos en los dispositivos de interconexin han propiciado la implementacin de redes de computadores. Este factor implica que los usuarios de un sistema computacional deben conocer los beneficios y riesgos asociados a la tecnologa. Las redes de computadores ofrecen una serie de facilidades entre las que destacan las siguientes: a) b) c) d) e) Acceso compartido a sistemas, datos y recursos Conectividad con usuarios remotos en forma on-line. Correo electrnico y sistemas de mensajera asociados. Acceso a dispositivos remotos. Ejecucin de procesos en sistemas remotos.

Existen diferentes riesgos asociados al uso de las redes de computadores, principalmente el acceso no autorizado a los programas y datos de la organizacin, que si no es controlado debidamente puede derivar en daos serios para la organizacin. Para asegurar el buen funcionamiento de las redes de comunicaciones de datos se deben considerar algunos aspectos como los siguientes: a) Mantener un registro automtico de los accesos remotos al sistema, principalmente de los incorrectos. b) Mantener un control sobre los protocolos de comunicaciones a fin de que operen slo aquellos que estn autorizados. c) Utilizar software de monitoreo que permite vigilar el trfico de la red, para detectar puntos de vulnerabilidad. d) El protocolo utilizado para realizar las transacciones debe garantizar la adecuada transmisin de datos.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

e) Cuando los datos a transmitir sean de carcter privado o crtico se deben codificar. Actualmente, el mercado ofrece una gran variedad de software y hardware especializado en limitar el acceso a los recursos de red. Por ejemplo, al nivel de un router se pueden generar listas de acceso que controlen tanto el trfico entrante como saliente. La utilizacin de estos dispositivos reduce significativamente el riesgo y permiten mejorar la productividad. En casos crticos, es necesario el uso de recursos fsicos y lgicos que permitan restringir el acceso a los sistemas de telecomunicaciones de la organizacin. Por ejemplo, puede ser necesario el uso de criptografa cuando los datos viajan a travs de los medios de una red o siendo almacenados. De esta forma los datos quedarn accesibles slo aquellos que poseen la clave de decodificacin asociada al algoritmo lgico-matemtico utilizado en el proceso de encriptacin. En otros casos ser necesario acompaar los datos de una firma electrnica que permita asegurar que los datos que acompaan a un documento correspondan a la fuente que los emiti, garantizando su integridad y fidelidad. Debe basarse en una serie de elementos que garanticen la integridad de los datos que se administran y transmiten. Por ejemplo: a) La organizacin debe proveer de procedimientos y polticas que permitan controlar el hardware y software que opera al nivel de redes. b) Se deben implementar mecanismos de control al nivel de hardware y software que garanticen la seguridad e integridad de los datos de una red y de los recursos fsicos que la componen. Tambin es importante considerar los siguientes aspectos: a) Se deben implementar controles que limiten y controlen el acceso a los datos. b) Se debe proveer las condiciones para una operacin eficiente de red e incluir normas y procedimientos de capacitacin, respaldo, operacin y recuperacin ante fallos. c) Se debe proveer de mecanismos de monitoreo y control tanto de hardware como el software de red.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

Administracin de una Red Computacional Hay aspectos fundamentales que considerar en lo relativo a la administracin de redes. Por ejemplo, se debe considerar que existan objetivos de corto y largo plazo para el procesamiento de datos de red. Una red de computadores opera sobre una topologa determinada, con un conjunto de dispositivos y medios destinados a soportar las comunicaciones sobre un protocolo determinado (generalmente TCP/IP). Hay que observar que toda la implementacin que se realice al nivel de redes debe ser sometida a un anlisis costo/beneficio y que considere al momento de la implementacin algunos aspectos como los siguientes: a) b) c) d) Participacin de todos los implicados Riesgos asociados a la comunicacin entre los sistemas. Los requerimientos de procesamiento de los usuarios locales y remotos. Pruebas de implementacin que demuestren el nivel de cumplimiento, tanto de las nuevas implementaciones como las ya en uso.

Se deben establecer elementos de control de procesamiento de redes que deben ser evaluados peridicamente. Por ejemplo: a) Hay que verificar que las actividades propias del ambiente de redes deben quedar debidamente documentadas. b) Se debe documentar adems los procedimientos de operacin relacionados con los usuarios del ambiente de redes. c) Se debe establecer un mecanismo para garantizar la compatibilidad de archivos entre las distintas aplicaciones. d) Se debe verificar que se aplican las polticas de respaldo de datos. e) Las responsabilidades relativas a la recuperacin ante fallos, deben estar claramente documentadas.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

Caso de estudio Hay algn proceso que est botando la red computacional

Lista de actividades de investigacin 1. 2. 3. 4. 5. 6. 7. Controles a la definicin de los datos Controles de acceso Seguridad de la comunicacin Seguridad fsica Plan de contingencia Continuidad del Servicio Control de software de red

Controles a la Definicin de los Datos Los controles a la definicin de los datos deben estar concebidos desde la definicin de los datos hasta las interfaces que acceden a estos. Hay que considerar que los datos son un recurso compartido y por ello deben implementarse mecanismos eficientes que permitan controlar el acceso a estos. Con respecto a la integridad de los datos, se deben implementar controles que garanticen que mientras se realice transferencia de datos entre sistemas remotos la informacin se mantiene consistente.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

Para ello, pueden implementarse procedimientos como los siguientes: a) Procedimientos de autentificacin b) Mecanismos destinados a mantener la integridad de la comunicacin. Por otra parte, los Departamentos de Tecnologa de Informacin, deben mantener un inventario actualizado de los equipos de redes. Este debe ser revisado peridicamente como una medida de prevenir posibles fallas en los sistemas de redes. As como tambin, deben verificar qu procedimientos de seguridad son los adecuados para proteger a los recursos fsicos. A nivel de organizacin, debe definirse un grupo responsable de la seguridad independiente de la Gerencia de la organizacin de la red, que se preocupe que la documentacin de seguridad se encuentre permanentemente actualizada. Entre otras cosas debe mantener documentacin como la siguiente: a) Del hardware de comunicaciones de datos y computadores. b) Del sistema operativo c) De las aplicaciones computacionales crticas

Controles de Acceso Respecto de los controles de acceso es importante mantener registros de auditoria que informen actividades como las siguientes: a) Un registro local de los accesos y salidas desde los sistemas (login/logout) en el cual se refleje el Terminal de red, la hora, el usuario y la aplicacin utilizada. b) Un registro local de los accesos fallidos que contenga el Terminal de red, el identificador de usuario, la fecha y hora. Por otra parte, se deben considerar los siguientes elementos que aseguren el control de acceso: a) Los usuarios solamente deben tener acceso a sus carpetas (directorios) dentro de los discos o volmenes asignados. b) Los usuarios deben acceder solamente a los terminales de red autorizados mediante su respectivo nombre de usuario y contrasea. c) El Terminal de red se debe bloquear despus de un nmero de intentos no autorizados. d) Los usuarios deben poseer perfiles de usuario, donde se le asigna acceso a los recursos del computador que est en directa relacin con las responsabilidades que le han sido asignadas.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

Seguridad en la Comunicacin de la Red Hay varios aspectos que se deben verificar para mantener un adecuado nivel de seguridad en la comunicacin a travs de la red. Por ejemplo, se debe considerar situaciones como las siguientes: a) Transmisin incompleta b) Alteracin no autorizada de datos c) Divulgacin no autorizada de informacin Es importante que se utilice los recursos de seguridad que traen consigo los dispositivos de conectividad de forma que se prevenga al nivel de hardware los accesos no autorizados que puedan alterar los niveles de seguridad en la red.

Seguridad Fsica Con respecto a la seguridad fsica, se deben considerar normas que controlen aspectos como los siguientes: a) Que la disposicin de los equipos de comunicacin queden ubicados en lugares con acceso controlado. b) Los servidores de comunicaciones deben quedar en un recinto con acceso slo al personal autorizado. c) Las estaciones de trabajo de red deben estar dotadas de mecanismos de seguridad que impidan su traslado no autorizado.

Plan de Contingencia Las organizaciones deben poseer un plan de contingencia que permita la normal operacin de las redes de computadores. Este plan debe consignar al menos los siguientes aspectos: a) Proteccin a los archivos de datos comunes. b) Procedimientos para la recuperacin en los sistemas de red. c) Consideraciones diversas y en distintos niveles en caso de interrupciones del servicio o emergencias. d) Lista de documentos que debe ser mantenida en respaldo fuera de los recintos de operacin.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

Continuidad del Servicio Es sumamente importante mantener la continuidad del servicio al nivel de redes. Dada la importancia crtica que tienen los datos cuando se administran en forma remota la prdida de conectividad o fallas en el servicio pueden causar serios problemas para el cumplimiento de los objetivos de la organizacin. Entre otros aspectos se debe verificar las siguientes situaciones: a) Que existan procedimientos documentados para la evaluacin de la red en cuanto a su desempeo, tiempos de respuesta y tiempos de recuperacin ante fallas. b) Que se ha documentado los procedimientos para la resolucin de problemas indicando y que se indican las responsabilidades respectivas. c) Verificar la frecuencia con que ocurren fallas y los tiempos de respuestas asignados a fin de tomas acciones correctivas. La red debe ser concebida de forma que la falla en un nodo no provoque la cada en el sistema completo. Por ello, la red debe estar provista de mecanismos que reduzcan el impacto que tienen las fallas en el sistema de red, tal como la incorporacin de controles y personal capacitado para la rpida recuperacin de una red.

Control del Software de Red Es importante comprobar que el software de comunicacin al nivel de red posee mecanismos de control como los siguientes: a) Hay que verificar que se han documentado los procedimientos de mantencin del software. b) Que el software contiene mecanismos de tratamientote errores y control de los accesos. c) Que se han implementado contratos de mantencin preventivas. d) Que se ha implementado software de servicio, tales como antivirus y antiespa (spyware).

Evaluacin del Hardware Computacional En la actualidad prcticamente todas las organizaciones poseen algn nivel de implementacin de hardware computacional destinado a la optimizacin de sus operaciones.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

El hardware permite a la organizacin aumentar su eficiencia y flexibilidad. La presencia de equipamiento manual y la automatizacin de los procesos manuales por parte de estos involucran riesgos y responsabilidades. Algunos de los riesgos que se pueden atribuir al hardware computacional: a) Muchas veces el costo asociado al hardware es menor, sin embargo la administracin de este y la necesidad de software asociado puede encarecer los costos al nivel de que no pueda ser utilizado. b) Habitualmente los equipos quedan dispuestos en los escritorios habituales de los trabajadores con escasa proteccin al acceso no autorizado. c) An cuando pareciera ser simple la utilizacin del equipamiento computacional, muchas veces se requiere de capacitacin para aprovechar este en su totalidad.

Controles de Acceso al Equipamiento Para que se pueda proteger el equipamiento contra los riesgos, la organizacin debe poseer un conjunto de polticas y procedimientos relativos al uso de los equipos por parte de los usuarios. El equipamiento requiere de controles especficos destinados a su proteccin contra la prdida de datos y daos en los programas que contienen derivados de golpes, accesos indebidos, robo.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

Algunos de los elementos crticos para una auditoria al nivel de hardware computacional son: a) Aplicar Controles al software en uso de forma que se limite el acceso a este, impidiendo la instalacin de productos no autorizados, a la modificacin no autorizada de software. b) Aplicar controles de seguridad que controlen el acceso a los equipos, programas y datos de forma que no se daen los equipos ni se difunda la informacin contenida en estos. c) Controles que impidan que el personal dae el equipamiento por falta de entrenamiento o falta de mantencin.

Continuidad del Servicio Las organizaciones deben poseer un conjunto de polticas y procedimientos debidamente documentados para la adquisicin y uso del hardware computacional de forma que se asegure la continuidad del servicio. Por ello es importante aplicar algunos controles como los siguientes: a) Verificar el desempeo del Hardware. b) Controlar las polticas de respaldo y recuperacin ante daos fsicos c) Verificar que se han implementado los controles de acceso a los recursos de informticas. d) Revisar las normas sobre la adquisicin de equipamiento computacional. e) Verificar que se aplican las normas que dicen relacin con la instalacin de software en los computadores. Adicionalmente, es necesario para proveer continuidad del servicio que se tengan en cuenta las siguientes consideraciones: a) Asegurar que los recursos han sido clasificados de acuerdo a su importancia y vulnerabilidad. b) Que se implementen efectivamente los mecanismos de identificacin de usuarios y un plan de cuentas que regule los accesos.

Plan de Contingencia Como una forma de asegurar la continuidad del servicio la organizacin debe incorporar en el plan de contingencia definiciones respecto del hardware. Por ejemplo: a) Establecer una poltica clara sobre la adquisicin de partes y piezas crticas. b) Documentar el proceso de adquisicin de equipos de forma de asegurar la compatibilidad entre los distintos componentes.

Prof. Vctor Valenzuela Ruz

Auditoria Computacional Unidad 4. Seguridad de Sistemas

c) Comprobar la existencia de fuentes de energa alternativa o de respaldo y verificar constantemente el estado de estas. d) Establecer procesos crticos de adquisicin que no retarden la compra de componentes crticos ante fallas. e) Proveer de software antivirus en los computadores que tienen contacto con recursos externos. Controles de Desempeo Una forma de verificar la calida de los procesos y propiciar a la eficiencia es establecer controles sobre el desempeo del equipamiento. Algunas actividades que pueden contribuir son las siguientes: a) b) c) d) Controlar que se capacita a los usuarios en el uso del hardware Verificar que los programas de mantencin son aplicados peridicamente. Comprobar que el contenido de los discos duros es el que corresponde. Verificar que las aplicaciones contenidas en la memoria en tiempo de ejecucin sean autorizadas. e) Comprobar que se ha establecido un centro de soporte y que este da respuesta oportuna a los requerimientos del usuario. Siempre que sea conveniente, se deben implementar controles que permitan que los sistemas computacionales y el hardware subyacente realicen procesos sobre la informacin que debe procesar por usuarios debidamente autorizados y bajo un esquema de seguridad que proporcione confiabilidad tanto a nivel de transacciones como a nivel de datos.

Prof. Vctor Valenzuela Ruz

10