AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

UNIVERSIDAD ANDINA DEL CUSCO FACULTAD DE INGENIERA CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS

ASIGNATURA: AUDITORA, SEGURIDAD Y CONTROL DE SISTEMAS

IMPLEMENTACIN DE CONTROLES DE LA NORMA TCNICA PERUANA NTP-ISO/IEC 17799: 2007 CLAUSULA 10 GESTIN DE COMUNICACINES Y OPERACIONES

Integrantes: Marco Antonio Mendoza Huillca Edgar Saloma Luis Gustavo Choque Yupanqui Docente: Ing. Emilio Palomino Olivera

CUSCO PER 2014

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

INTRODUCCIN
La Norma Tcnica Peruana NTP-ISO/IEC 17799: 2007 EDI. Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin , fue elaborada por el Comit Tcnico de Normalizacin de Codificacin en Intercambio de Datos (EDI) junto a otras instituciones que participaron en la elaboracin; para la Comisin de Reglamentos Tcnicos y Comerciales de INDECOPI en Enero del 2007, teniendo como antecedente la norma ISO/IEC 17799: 2005, el cual es un estndar internacional para la seguridad de la informacin. Dicha norma es de uso obligatorio para las instituciones del Estado y es recomendable y opcional para las instituciones privadas. En resumen esta norma es una gua para la implementacin de controles de seguridad de la informacin en las organizaciones, esto para una consecuente identificacin, evaluacin y tratamiento de los riesgos de seguridad de la informacin que puedan existir. Ya que se trata a la informacin, en sus diversas formas, como un activo importante que debido a diversos factores est expuesta a amenazas y vulnerabilidades, y por ello se debe salvaguardar su seguridad para asegurar la continuidad del negocio, minimizar los daos a la organizacin, mantener su competitividad, entre otros beneficios. Para conseguir dicha seguridad la norma sugiere la implantacin de un conjunto adecuado de controles, que si bien es cierto en esta norma es tomada de forma general, estos controles pueden ser ms especficos en cada organizacin. Estos controles pueden ser polticas, prcticas, estructuras organizativas y funciones de hardware o software. La estructura de este estndar consta de 11 clusulas de control de seguridad y un total de 39 categoras principales, nuestro equipo de trabajo tom como punto de trabajo la clusula que trata sobre Gestin de Comunicaciones y Operaciones. La Gestin de Comunicaciones y Operaciones asegura la operacin correcta y segura de los recursos de tratamiento de la informacin manteniendo su integridad y disponibilidad; protege la integridad del hardware, software, informacin, e infraestructura de apoyo, evita interrupciones de actividades. Llevar controles sobre este apartado es importante porque permite organizar de manera ptima las actividades y tareas que se llevan a cabo indicando los procedimientos, documentos de referencia, dependencias, personal interviniente, supervisiones, tiempos de duracin, frecuencia, recursos de software y de hardware.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

CAPITULO I

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS 1. IDENTIFICACIN DEL PROBLEMA 1.1. Descripcin del problema
Las instituciones pblicas en el transcurso del tiempo siguen sin contar con los controles adecuados para la Gestin de la Seguridad de la Informacin, por lo general se debe implementar varios controles de respaldo con la finalidad de responder adecuadamente a las normas que se exige ya que en muchos casos hacen caso omiso a las normas o simplemente desconocen de ellas. Las organizaciones y sus sistemas de informacin se enfrentan, cada vez ms, con riesgos e inseguridades procedentes de una amplia variedad de fuentes, incluyendo fraudes basados en informtica, espionaje, sabotaje, vandalismo, incendios o inundaciones. Ciertas fuentes de daos como virus informticos y ataques de intrusin o de negacin de servicios se estn volviendo cada vez ms comunes, ambiciosos y sofisticados.

Las entidades pblicas en la actualidad, presentan diferentes tipos de problemas, como se pueden describir de la siguiente manera: La mayora de los usuarios, desconocen los procedimientos correctos para realizar sus actividades como por ejemplo, el uso correcto de los equipos de cmputo, como realizar backups, utilizar el correo electrnico, etc. Las diferentes reas de las instituciones pblicas, realizan cambios y modificaciones indebidas y sin contar con la autorizacin respetiva. Cada personal de las diferentes reas no cumplen con sus tareas y responsabilidades, ya que en varias oportunidades no cumplen con sus metas, lo cual conlleva a realizar una atencin al pblico de forma lenta e inadecuada por lo que existen quejas de diferentes clientes, y las reas responsables a su cargo, tampoco cumplen con sus objetivos, lo cual genera problemas internos en la organizacin. Existen diferentes trabajadores, que contratan a personal tercero para el mantenimiento e implementacin de sistemas; pero muchos de estos terceros no son autorizados para realizar estos servicios, por lo que generan fallas en el funcionamiento del sistema. Los trabajadores tambin realizan modificaciones o actualizacin de los sistemas operativos sin la debida aceptacin o aprobacin. Los diferentes trabajadores que laboran en las diferentes instituciones pblicas, no realizan copias de seguridad de toda su informacin que realizan al da.

1.2. Objetivos general

Implementar Controles Adecuados para la Gestin de la Seguridad de la Informacin.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS 1.3. Objetivos especficos

Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Implementar y mantener un nivel apropiado de seguridad y de entrega de servicio en lnea con los adecuados con terceros Minimizar el riesgo de fallos de los sistemas Proteger la integridad del software y de la informacin Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo Prevenir acceso no autorizado, modificaciones, evitar daos a los activos e interrupciones de las actividades de la organizacin. Evitar la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro. Detectar las actividades de procesamiento de informacin no autorizadas.

1.4. Alcances
Con esta clusula 10 de la norma NTP-ISO-IEC-17799-2007 contara con las siguientes caractersticas: 1. Procedimientos y responsabilidades de operacin 2. Gestin de servicios externos 3. Planificacin y aceptacin del sistema 4. Proteccin contra software malicioso 5. Gestin de respaldo y recuperacin 6. Gestin de seguridad en redes 7. Utilizacin de los medios de informacin 8. Intercambio de informacin 9. Servicios de correo electrnico 10. Monitoreo

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

1.5. Metas
Diagrama de actividades. Diagrama de procesos. Formatos auditables. Automatizacin de los formatos auditables.

1.6. Limitaciones En el desarrollo del presente Proyecto, no se utiliz ningn tipo de bibliografa, de tal manera que no existe ningn tipo de gua para el desarrollo de este Proyecto, por lo que todo el desarrollo es creacin propia de nuestros conocimientos y esfuerzo.

1.7. Justificacin Este Proyecto se pretende gestionar la comunicacin y operaciones que exista dentro una empresa y as mejorar la seguridad de la informacin y agilizar el proceso de registros, facilitando y mejorando con la atencin a beneficio de los clientes Con este proyecto se pretende mejorar y repotenciar la gestin de comunicaciones y operaciones, lo que conlleva a realizar controles adecuados. Las necesidades de establecer controles para las responsabilidades y procedimientos para la gestin y operaciones de todos los recursos de tratamiento de formacin. Verificar que los contratistas terceros, cumplan con todos los requerimientos establecidos y acordados. Establecer procedimientos rutinarios para realizar las copias de seguridad. Establecer un monitoreo a los sistemas y los eventos de seguridad de informacin deben ser grabadas.

1.8. Metodologa
Tipo de investigacin: Descriptiva y explicativa.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

Diseo de la investigacin: Experimental.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

CAPITULO II
Procesos del Negocio

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS 2. Identificacin de Controles La clusula N 10 de la NTP 12207 Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, realizara los siguientes controles: 1. Procedimientos y responsabilidades de operacin 2. Gestin de servicios externos 3. Planificacin y aceptacin del sistema 4. Proteccin contra software malicioso 5. Gestin de respaldo y recuperacin 6. Gestin de seguridad en redes 7. Utilizacin de los medios de informacin 8. Intercambio de informacin 9. Servicios de correo electrnico 10. Monitoreo

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

10. GESTIN DE COMUNICACIONES Y OPERACIONES 10.1. PROCEDIMIENTOS Y RESPONSABILIDADES DE OPERACIN

OBJETIVO: Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. 10.1.1. DOCUMENTACIN DE PROCEDIMIENTOS OPERATIVOS

Control Se deberan documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo requieran. Gua de implementacin Se debe preparar los procedimientos documentados para actividades del sistema asociados con el procesamiento de informacin y los recursos de comunicacin, como los procedimientos de prendido y apagado de la computadora, backups, mantenimiento de equipos, manipulacin de medios, ambientes de cmputo y manipulacin de correos, y seguridad.

Dichos procedimientos deberan especificar las instrucciones necesarias para la ejecucin detallada de cada tarea, incluyendo:

a) b)

El proceso y utilizacin correcta de la informacin. Backup.

c) Los requisitos de planificacin, incluyendo las interdependencias con otros sistemas, con los tiempos de comienzo ms temprano y final ms tardo posibles de cada tarea. d) Las instrucciones para manejar errores u otras condiciones excepcionales que puedan ocurrir durante la tarea de ejecucin, incluyendo restricciones en el uso de servicios del sistema. e) Los contactos de apoyo en caso de dificultades inesperadas operacionales o tcnicas. f) Las instrucciones especiales de utilizacin de resultados, como el uso de papel especial o la gestin de resultados confidenciales, incluyendo procedimientos de destruccin segura de resultados producidos como consecuencia de tareas fallidas. g) El reinicio del sistema y los procedimientos de recuperacin a utilizar en caso de fallo del sistema.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

h)

La gestin de la informacin del rastro de auditoria y del registro de sistema.

Se deberan preparar procedimientos documentados para las actividades de administracin del sistema y cualquier cambio que se deba realizar debe ser autorizado por la gerencia. Donde sea tcnicamente viable, los sistemas de informacin deben ser gestionados consistentemente usando los mismos procedimientos, herramientas y recursos.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

FICHA AUDITABLE
Control

Responsable del Sistema

Usuario

Responsable del Mantenimiento

Supervisor del Mantenimiento

Fecha del Mantenimiento Actividad o Sistema rea Procedimiento de Operacin Observacin

FIRMA

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

10.1.2. GESTION DE CAMBIOS

Control Se deberan controlar los cambios en los sistemas y recursos de tratamiento de informacin. Gua de Implementacin Los sistemas operacionales y el software de aplicacin deben ser sujetos a un estricto control de la gestin de cambios.

En particular se deberan considerar los siguientes controles y medidas. a) b) c) d) e) la identificacin y registro de cambios significativos. planeamiento y prueba de los cambios. la evaluacin de los posibles impactos, incluyendo impactos de seguridad, de dichos cambios. un procedimiento formal de aprobacin de los cambios propuestos. la comunicacin de los detalles de cambio a todas las personas que corresponda.

f) procedimientos que identifiquen las responsabilidades de abortar y recobrarse de los cambios sin xito y de acontecimientos imprevistos.

Se deberan implantar responsabilidades y procedimientos formales de gestin para asegurar un control satisfactorio de todos los cambios en los equipos, el software o los procedimientos. Cuando se cambien los programas se debera conservar un registro de auditoria conteniendo toda la informacin importante.

Otra informacin El control inadecuado de los cambios a los sistemas y recursos de procesamiento de informacin es una causa comn de fallas del sistema o de seguridad. Cambios en el ambiente operacional, especialmente cuando se transfiere un sistema de la etapa de desarrollo a la de operacin, pueden impactar en la fidelidad de las aplicaciones (vase el inciso 12.5.1). Los cambios a los sistemas operacionales deben realizarse solamente cuando existe una razn de negocio valida, como un incremento en el riesgo al sistema. Actualizando los sistemas con la ultima versin de los sistemas operativos o aplicaciones, no siempre se encuentra en los intereses del negocio adems de que puede introducir mayores vulnerabilidades e inestabilidad que la versin

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS actual. Tambin se puede necesitar de un entrenamiento adicional, costos de licencias, apoyo, mantenimiento y administracin, y un nuevo hardware especialmente durante la migracin.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS FICHA AUDITABLE

Control Responsable rea Fecha y hora del cambio Identificacin Tipo de Soporte Contenido Objetivos Pruebas

Finalidad

Posibles impactos Autorizacin Responsable del cambio Persona que autoriza Cargo/Puesto rea Observaciones

FIRMA

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

10.1.3. Control SEGREGACION DE TAREAS

Se deberan segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada o no intencional, o el de un mal uso de los activos de la organizacin.

Gua de implementacin

La segregacin de tareas es un mtodo para reducir el riesgo de mal uso accidental o deliberado de un sistema. Se debe tener cuidado de que cualquier persona puede acceder, modificar o utilizar los activos sin autorizacin o sin ser detectado. La iniciacin de un evento debe estar separado de su autorizacin. La posibilidad de confabulacin debe ser considerada en el diseo de los controles.

Las organizaciones pequeas pueden considerar que este mtodo de control es difcil de lograr, pero el principio debera aplicarse en la medida en que sea posible y practicable. Cuando la segregacin sea difcil, se considerarn otros controles como la monitorizacin de las actividades, las pistas de auditoria y la supervisin de la gestin. Es importante que la auditoria de seguridad permanezca independiente

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

FICHA AUDITABLE

CONTROL

Personal

rea

Fecha Tareas o Funciones reas de Responsabilidad Observaciones

Responsable

FIRMA

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

10.1.4. SEPARACION DE RECURSOS PARA DESARROLLO Y PARA PRODUCCION

Control La separacin de los recursos para desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional.

Gua de Implementacin Se debera identificar e implementar controles adecuados para el nivel de separacin entre los entornos de desarrollo, prueba y produccin que es necesario para evitar problemas operacionales. Se debera considerar lo siguiente:

a)

las reglas de transferencia del software desde un estado de desarrollo al de produccin deben ser definidos y documentados. el software de desarrollo y el de produccin deberan, si es posible, funcionar en procesadores diferentes, o en dominios o directorios distintos. los compiladores, editores y otros servicios del sistema no deberan ser accesibles desde los sistemas de produccin, cuando no se necesiten. el entorno de prueba del sistema debe emular el entorno del sistema operacional lo ms cercano posible. los usuarios deben utilizar diferentes perfiles de usuario para los sistemas operacionales y de prueba; y los mens deben exhibir mensajes de identificacin apropiados con el fin de reducir el riesgo por error. los datos sensibles no deben ser copiados en el entorno del sistema de prueba. Otra Informacin Las actividades de desarrollo y prueba pueden causar serios problemas, por ejemplo, cambios no deseados en los archivos o en el entorno del sistema o fallos del sistema. En este caso es necesario mantener un entorno conocido y estable para poder realizar las pruebas significativas y evitar el acceso inapropiado del personal de desarrollo. Si el personal de desarrollo y el de prueba tuvieran acceso al sistema de produccin y a su informacin, podran introducir un cdigo no autorizado o no probado o alterar los datos operacionales. En algunos sistemas esta posibilidad podra utilizarse de forma indebida,

b)

c)

d)

e)

f)

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS para cometer fraudes o para introducir un cdigo no probado o malicioso, lo que podra causar problemas operacionales serios.

Los encargados del desarrollo o de las pruebas tambin suponen una amenaza a la confidencialidad de la informacin de produccin. Las actividades de desarrollo y de prueba pueden causar cambios inesperados en el software y la informacin si comparten el mismo entorno de tratamiento. La segregacin de los recursos de desarrollo, prueba y produccin es conveniente para reducir el riesgo de cambios accidentales o del acceso no autorizado al software de produccin y a los datos de la organizacin.

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS FICHA AUDITABLE

CONTROL Responsable del desarrollo Para el rea Fecha de inicio Fecha de Fin Herramientas Especialistas Objetivos Nivel de Acceso Usuario Cdigo de identificacin

Autorizado por

Firma

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Responsable de las pruebas Supervisor Para el rea Fecha de inicio Fecha de fin Prueba general Pruebas especificas

Usuario

Cdigo de identificacin

Observaciones

Resultados

Recomendaciones

FIRMA DEL SUPERVISOR

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Responsable de la produccin Para el rea Responsable del rea Fecha inicio Fecha fin Deficiencias encontradas

Usuario Cdigo de identificacin

Observaciones

FIRMA DEL RESPONSABLE DE LA PRODUCCIN

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

10.2. GESTION DE SERVICIOS EXTERNOS 10.2.1. SERVICIO DE ENTREGA

Nombre de la organizacin Servicio que presta Contrato Fecha de inicio de contrato Supervisor Arreglos de seguridad Definicin de servicio

Fecha de caducidad FIRMA Niveles de entrega

10.2.2. MONITOREO Y REVISIN DE LOS SERVICIOS EXTERNOS

Nombre de Organizacin Servicio que Presta Documento de Contrato Fecha Inicio Contrato Monitoreo de Niveles de funcionamiento Responsable Responsable Fecha Caducidad Contrato Revisiones de servicios

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Supervisor fecha Acuerdo al que se le hace referencia: Cumple con los acuerdos?: REPORTES Supervisor Frecuencia de Revisiones

Observaciones:

Fecha de revisin Revisin Contrato incidentes de seguridad de informacin:

Incidente Responsable de la revisin

10.2.3. GESTIONANDO CAMBIOS PARA LOS SERVICIOS EXTERNOS

Nombre de Organizacin Servicio Que Presta Documento de Contrato Fecha Inicio Contrato Fecha Caducidad Contrato Cambios realizados por la organizacin para implementar Actividad. Estado descripcin

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Realces en servicio ofrecido. Aplicacin o sistema nuevo. Polticas y procedimientos. Organizacionales. Controles nuevos en seguridad. Cambios Servicios externos para implementar Actividad. Redes. Nuevos productos. Nuevas herramientas. Cambios de Locacin. Uso de Nuevas Tecnologas. Estado descripcin

10.3.

PLANIFICACION Y ACEPTACION DEL SISTEMA

10.3.1. PLANIFICACION DE LA CAPACIDAD 10.3.2. ACEPTACION DEL SISTEMA 10.4. PROTECCION CONTRA SOFTWARE MALICIOSO

10.4.1. MEDIDAS Y CONTROLES CONTRA SOFTWARE MALICIOSO

Responsable del Sistema Cargo / Oficina Fecha de inicio Fecha de final

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Recopilacin de Licencias Anlisis de software y su contenido

Uso de software no autorizado.

Anlisis de los respaldos

Revisiones regulares del software y de los datos contenidos en los sistemas

Verificacin de todo archivo adjunto

Informacin sobre ataques al sistema

Verificacin de archivos

Verificacin de todo archivo adjunto

Verificacin de cdigos maliciosos de pginas web

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Observaciones FIRMA

10.4.2. MEDIDAS Y CONTROLES CONTRA CODIGO MOVIL

Usuario rea Dependencia Responsable del rea Fecha de inicio Fecha de final Anlisis de ejecucin del cdigo mvil Anlisis del uso y las recepciones del cdigo mvil Verificar las autentificaciones del cdigo mvil Verificacin de todo archivo adjunto Observaciones

FIRMA

AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS

10.5.

GESTION DE RESPALDO Y RECUPERACION

10.5.1. RECUPERACION DE LA INFORMACION Responsable del rea rea Fecha y hora Copiado a servidor 1 Copiado a servidor 2 Tipo de Seguridad Pruebas de recuperacin Resultado Usuario

FIRMA