You are on page 1of 17

Auditoria de Sistemas Informáticos: Evaluación de Sistemas

Ing. Gustavo H. Pérez González

La serie 27000 • ISO 27001: Publicada el 15 de Octubre de 2005. . • Contiene los requisitos del sistema de gestión de seguridad de la información (SGSI) • Es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.

La serie 27000 • ISO 27002: • Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. agrupados en 11 dominios. . • No es certificable. • Contiene 39 objetivos de control y 133 controles.

• Sistema de gestión de la seguridad de la información. • Auditorías internas del SGSI.ISO 27001:2005 Normas para consulta. • Revisión del SGSI por la dirección • . • Términos y definiciones. • Responsabilidad de la dirección.

• Gestión de comunicaciones y operaciones. • Gestión de activos.ISO 27002:2005 (anterior ISO 17799:2005) • Evaluación y tratamiento del riesgo. • Aspectos organizativos de la seguridad de la información. • Seguridad física y ambiental. • Política de seguridad. • Seguridad ligada a los recursos humanos. .

ISO 27002:2005 (anterior ISO 17799:2005) • Control de acceso. • Gestión de la continuidad del negocio. • Cumplimiento. • Adquisición. desarrollo y mantenimiento de los sistemas de información. . • Gestión de incidentes de seguridad de la información.

¿Cómo adaptarse? .

• Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización. localización. activos y tecnología. legales y contractuales en cuanto a seguridad • Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización. . tenga en cuenta los requisitos de negocio. desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable.Planificación • Definir alcance del SGSI: en función de características del negocio. organización.

• Identificar los impactos: los que podría suponer una pérdida de confidencialidad. • Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable o requiere tratamiento.Planificación • Inventario de activos: Todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI. . • Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad y la probabilidad de ocurrencia del fallo. la integridad o la disponibilidad de cada uno de los activos.

• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es. • Aprobación por parte de la Dirección del riesgo residual autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo .Planificación • Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido. en definitiva. • Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. eliminado. aceptado o transferido.

Diagrama de seguridad de los sistemas .

.Confidencialidad • Consiste en proteger la información contra la lectura no autorizada explícitamente. sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial. • Incluye no sólo la protección de la información en su totalidad.

Confidencialidad • El análisis de riesgos implica determinar lo siguiente: • Qué se necesita proteger • De quién protegerlo • Cómo protegerlo .

Confidencialidad • ¿Cómo aseguramos que no están ingresando a nuestro sistema por un puerto desprotegido o mal configurado? • ¿Cómo nos aseguramos de que no se estén usando programas propios del sistema operativo o aplicaciones para ingresar al sistema en forma clandestina? • ¿Cómo aseguramos al que. ante un corte de energía eléctrica. el sistema seguirá funcionando? • ¿Cómo nos aseguramos de que los medios de transmisión de información no son suceptibles de ser monitoreados? • ¿Cómo actúa la organización frente al alejamiento de uno de sus integrantes? .

Mensualmente: • Realizar un seguimiento de todos los archivos las listas a fin de detectar cambios. • Extraer una lista sobre las conexiones de red levantadas en las últimas 24 horas. . • Obtener gráficos sobre tráfico en la red. • Obtener una lista sobre los downloads de archivos realizados y quién los realizó. Semanalmente: • Extraer una lista sobre los ingresos desde el exterior a la red interna.Confidencialidad Diariamente: • Extraer una lista sobre el volumen de correo transportado. • Obtener logísticos sobre conexiones realizadas en horarios no normales. • Extraer una lista con las conexiones externas realizadas desde nuestra red.

Procedimiento de alta de cuenta de usuario • Cuando un elemento de la organización requiere una cuenta de operación en el sistema. • Tipo de cuenta • Fecha de caducidad • Fecha de expiración • Datos referentes a los permisos de acceso. pero claras de cómo elegir su password. . debe llenar un formulario que contenga. al menos los siguientes datos: • Nombre y Apellido • Puesto de trabajo • Jefe inmediato superior que avale el pedido • Descripción de los trabajos que debe realizar en el sistema • Consentimiento de que sus actividades son susceptibles de ser auditadas en cualquier momento • Explicaciones breves.

• Instale patches a su sistema operativo contra flooding de TCP SYN.Prevención y respuesta • Coloque access lists en los routers. • Trate de utilizar configuraciones de red redundantes y faulttolerant. . • Observe el funcionamiento del sistema y establezca valores base para la actividad ordinaria. • Invalide cualquier servicio de red innecesario o no utilizado. el examen de su seguridad física. • Utilice una herramienta para detectar cambios en la información de configuración u otros archivos. • Incluya como parte de su rutina.