Auditoria en Seguridad Logica PDF

TEMA 6
AUDITORA DE LA
SEGURIDAD LGICA
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
Objetivos del tema

Conocer la importancia de la seguridad de la informacin
Conocer que es el acceso lgico
Conocer las principales exposiciones a riesgos de acceso lgico
Conocer los controles ms usuales de acceso lgico
Conocer que es el software de control de acceso
Conocer tcnicas de auditora del acceso lgico
Tema 6. Contenido
Objetivos del tema
Crmenes informticos
Tcnicas de auditora
Elementos clave de la gestin de la

seguridad
Polticas y procedimientos
Organizacin

seguridad
Polticas y procedimientos
Debe haber una poltica de organizacin general
manifestando el claro compromiso de la alta direccin
dando directrices al respecto
ASPECTOS A RECALCAR
la importancia de la informacin para la organizacin
la necesidad de la seguridad
la importancia de definir los activos sensibles y crticos a
proteger
las responsabilidades

seguridad
Organizacin
Las responsabilidades de proteger cada activo y de llevar a
cabo procesos especficos de seguridad deben estar
claramente definidas.
La poltica de seguridad debe dar una gua general de cmo
asignar estas responsabilidades

seguridad
Asignacin de responsabilidades
Direccin ejecutiva
Tiene la responsabilidad global de la seguridad de la
informacin.
Comit de seguridad
Debe estar constituido por gerentes de diferentes niveles
Su tarea es la de discutir temas de seguridad y establecer las
prcticas de seguridad.

seguridad
Propietarios de datos
Determinan los niveles de clasificacin de los datos en
cuanto a su criticidad y niveles de acceso
Son los responsables de dar el tipo de acceso a los datos
bajo su responsabilidad.
Propietarios de procesos
Son los responsables de la seguridad de los procesos bajo su
responsabilidad en lnea con la poltica de la organizacin

seguridad
Desarrolladores de TI
Implementan la seguridad de la informacin
Especialistas de seguridad
Promueven y ayudan en el diseo, implementacin, gestin
y revisin de la poltica y procedimientos de seguridad

seguridad
Usuarios
Seguir los procedimientos establecidos en la poltica de
seguridad
leer la poltica de seguridad
mantener en secreto la identificacin de usuario y la contrasea
informar de las sospechas de violacin de la seguridad
mantener una buena seguridad fsica
cerrar las puertas, llaves de acceso en lugar seguro, no revelar la clave de
acceso de cerraduras electrnicas, preguntar a personas desconocidas.
cumplir las leyes y regulaciones legales

seguridad
Auditores de SI
Dar un aseguramiento independiente a la gerencia de la
adecuacin y eficacia de los objetivos de seguridad de la
informacin.

seguridad
Clasificacin de datos
Archivos informatizados tienen diversos grados de sensibilidad
Clasificaciones simples
alta, media y baja
Reduccin riesgo/costo excesivo en proteccin recursos
informticos
Concesin acceso datos/programas produccin por propietario
Programadores aplicaciones trabajan sobre Datos/programas en
entorno de prueba
Tema 6. Contenido
Objetivos del tema
Crmenes informticos
Tcnicas de auditora
Crmenes informticos
utilizacin sistemas informticos para :
robo dinero/ bienes/software/informacin
manipulacin aplicaciones/datos
robo ordenador.
robo ideas/informacin confidencial.
Perjudiciales para:
reputacin
moral
existencia
de una organizacin.
Crmenes informticos
Amenazas
Prdidas financieras
directas -prdida fondos electrnicos indirectas -costos corregir exposicin al riesgo Repercusiones legales
Prdida credibilidad/competitividad
Chantaje/espionaje industrial
Divulgacin informacin confidencial/sensible/embarazosa
Sabotaje
Crmenes informticos
Causantes violaciones acceso lgico
Piratas informticos (Hackers)
Personal de SI
Usuarios finales
Ex-empleados
Crmenes informticos
Causantes violaciones acceso lgico
Terceros interesados o capacitados
Competencia
Potencias extranjeras
Crimen organizado
Piratas informticos contratados terceros (Crackers)
Personal tiempo parcial/temporal

Proveedores y Consultores Externos
Legos, accidentalmente
Tema 6. Contenido
Objetivos del tema
Crmenes informticos
Tcnicas de auditora

(1/2)
Alteracin/uso/destruccin programas/datos no autorizada
Manipulacin de datos
es el abuso ms generalizado
requiere poco conocimiento tcnico
Caballos de Troya
Redondeo por defecto
Tcnica de la rodaja

(2/2)
Virus informticos
Gusanos
Bombas lgicas
Puertas traseras
Ataque asncrono
Tema 6. Contenido
Objetivos del tema
Crmenes informticos
Tcnicas de auditora
Rutas de Acceso Lgico

Consola del operador
Ubicacin
sala ordenador/
instalacin acceso fsico solo operadores/soporte
Terminales en lnea
Cdigo usuario y contrasea acceso
Software control acceso.

Procesamiento diferido
Acumular transacciones entrada
Proceso posterior:
tiempo determinado
cantidad de transacciones.
Restringir
quin puede introducir transacciones (personal carga
datos)
quin puede iniciar proceso diferido (operadores/ sist. planif.
trbjos
Controlar procedimientos autorizacin manipulacin
transacciones antes proceso.

Puertos de llamada telefnica
Identificar usuario remoto
lnea de respuesta de llamada
cdigo de usuario y software de control de acceso
operador para verificar identidad
Redes de telecomunicaciones
Igual que terminales en lnea
Tema 6. Contenido
Objetivos del tema
Crmenes informticos
Tcnicas de auditora

Los controles de acceso lgico son el mtodo primario de
gestionar y proteger los activos de informacin para reducir a un
nivel aceptable el riesgo de una organizacin.
Los auditores de SI tienen que entender la relacin entre los
controles de acceso lgico y las polticas y procedimientos de
seguridad.
Para hacer esto, los auditores de SI deben ser capaces de
analizar y evaluar la eficacia de estos controles para conseguir los
objetivos de seguridad de la informacin.

Software de control de acceso (SCA)
Es un elemento crtico para asegurar la confidencialidad,
integridad y disponibilidad de los recursos de informacin.
Su propsito es el de prevenir el acceso y la modificacin sin
autorizacin a los datos sensibles y a la utilizacin de funciones
crticas.
Para conseguir este nivel de control es necesario establecer
controles de acceso en todos los niveles de la arquitectura de SI
Normalmente consiste en
alguna forma de identificacin y autentificacin
autorizacin del acceso
registro e informe de las actividades de los usuarios

Identificacin y autentificacin
Es el proceso de probar la identidad de un usuario
la identificacin es el medio por el cual el usuario da su
identidad
la autentificacin el medio por el cual el usuario da una
informacin (algo que solamente l conoce o tiene) que garantiza
que realmente es quien dice ser.

Cdigo de usuario y contrasea(1/3)
Es la tcnica ms conocida de identificacin y autentificacin
Lista interna de cdigo de usuario vlidos
-reglas acceso para cada usuario-
La contrasea evita la utilizacin no autorizada

El cdigo de usuario da una identificacin de la persona
Autenticacin proceso dos etapas:
verificacin cdigo usuario vlido
substanciacin validez personal por contrasea
10

Cdigo de usuario y contrasea (2/3)
Caractersticas de las contraseas
Fciles recordar, difciles adivinar
Primera asignacin Administrador de Seguridad
Obligar a cambiar en la primera conexin
A la tercera, perdi
Olvido contrasea
Cifradas internamente
No exhibicin contrasea

Cdigo de usuario y contrasea (3/3)
Cambio peridico
Reglas sintaxis (formato)
+ cuatro caracteres
Combinacin caracteres alfabticos y numricos
No asociable con algo especial del usuario
No reutilizable
Desactivacin cdigos usuario sin actividad
Desconexin automtica

Control acceso seguridad biomtrico
Basado en caractersticas fsicas usuario
huella digital
patrn de la retina
necesita un lector especial
control de acceso muy eficaz (difcil de eludir)
puede no ser eficiente en cuanto costos .
11

Aspectos de la autorizacin
El proceso de autorizacin del acceso normalmente requiere
que el sistema pueda identificar y diferenciar a los usuarios.
Las reglas de acceso (autorizacin) especifican quin puede
acceder a qu.
Las autorizaciones de acceso deben ser dadas en base a la
necesidad de saber y a la necesidad de hacer y deben quedar

documentadas estas necesidades.

Cuando un auditor de SI revisa la accesibilidad al sistema,
necesita saber que es lo que se puede hacer con el acceso y que
es lo que est restringido.
Las restricciones de acceso a nivel de fichero tpicas son:
solo lectura, consulta o copia
solo escritura, creacin, actualizacin o eliminacin
solo ejecucin
una combinacin de las anteriores.
El tipo de acceso menos peligroso es el de consulta o lectura, si
la informacin no es sensible o confidencial

Archivos y funciones informatizadas a proteger (1/2)
Datos
Utilidades
Software aplicaciones
prueba
produccin
Lneas telecomunicaciones
Bibliotecas
Biblioteca contraseas
Archivos temporales
Biblioteca soportes magnticos
Software base
12

Archivos y funciones informatizadas a proteger (2/2)
Software control acceso
Bibliotecas procedimientos
Archivos registros histricos
Eludir funcin proceso etiqueta
Directorio/diccionario datos.

Tablas de autorizacin
El mecanismo de control de acceso utiliza tablas de autorizacin
de acceso tambin conocidas como listas de control de acceso
(ACLs access control lists).
Las ACLs son un registro de

(1) usuarios (humanos o no) a los que se ha dado acceso un
determinado recurso del sistema
(2) los tipos de acceso que les ha sido permitido.
Las ACLs varan en cuanto su capacidad y flexibilidad
algunas solo permiten especificaciones para ciertos grupos
preestablecidos (p.e. propietario, grupo, resto del mundo)
otras ms avanzadas permiten grupos definidos por los
usuarios.
otras permiten denegar explcitamente el acceso a un
usuario o grupo de usuarios.

Restriccin/seguimiento acceso funciones que eludan
seguridad
Solo deben tener acceso a ellas los programadores de
sistemas
Salto del proceso de etiquetas
Utilidades que permiten salir del sistema de seguridad
Cdigos de usuario especiales
13

Convenciones nombres para el control del acceso
Establecimiento
propietarios datos/aplicaciones + Jefe Seguridad
Su sofistificacin depende de la importancia y nivel seguridad
Promover convecciones de nombres que:
permitan reglas acceso eficientes
simplifiquen la administracin de la seguridad
Tema 6. Contenido
Objetivos del tema
Crmenes informticos
Tcnicas de auditora

Dos formas principales prevencin y deteccin virus:
buenas polticas y procedimientos
medios tcnicos
Ambas necesarias
14

(1/ 2)
Generar sistema utilizando copias maestras originales y limpias
Solo discos analizados en mquina aislada de nico propsito
Actualizar el software antivirus frecuentemente
Proteccin escritura disquetes .EXE .COM
Demostraciones en mquinas vendedores
Software antivirus estaciones trabajo y servidores.
.....

Medios tcnicos prevencin
hardware
estaciones trabajo sin disquetes
arranque de forma remota
contraseas basadas en el hw
proteccin escritura disquetes.
software antivirus

Software antivirus
Eficaz solo si actualiza peridicamente
Escneres
buscan secuencias bits
examinan memoria/sectores arranque/ficheros
Monitores activos
interceptan llamadas SO y BIOS buscando acciones virus
molestos (no pueden distinguir petic. usuario/programa/virus)
Chequeadores integridad
se calcula nmero binario (CRC) sobre programa libre virus
se almacena CRC en BD
se recalcula y compara cada vez que se invoca al programa
15
Tema 6. Contenido
Objetivos del tema
Crmenes informticos
Auditora de la seguridad lgica
Auditora de la Gestin la
seguridad
Consiste en la revisin del marco de la gestin de la seguridad en
la organizacin
seguridad
Percepcin seguridad y entrenamiento
formales
La eficacia de la seguridad siempre depende del personal
Los empleados deben saber:
qu se espera de ellos
cuales son sus responsabilidades
razones medidas de seguridad
puertas cerradas
utilizacin cdigos de usuario
repercusiones violacin seguridad.
16
seguridad
Percepcin seguridad y entrenamiento
formales
El entrenamiento debe comenzar con un proceso de orientacin
de la seguridad
Incrementar la percepcin:
revistas internas
cumplimiento ostensible y coherente normas de seguridad
pequeos recordatorios en reuniones con el personal.
Programa a cargo administrador Seguridad.
Determinacin eficacia programa
entrevistar muestra empleados
seguridad
Propiedad de los datos
Responsabilidad seguridad datos debe estar distribuida
Posibilita establecer un sistema de asignacin de
responsabilidades.
TAs
Determinar asignacin correcta propiedad datos
Determinar percepcin responsabilidad
seguridad
Propiedad de los datos
Propietarios de datos
autorizar acceso
asegurarse actualizacin reglas acceso cuando cambios personal
inventario peridico reglas de acceso de sus datos
Custodios de datos
Responsables almacenar/salvaguardar los datos
Administrador de Seguridad
Usuarios de datos
Acceso: - autorizado por Propietarios datos
- controlado por Admon. Seguridad
Cumplir polticas / cuidado con personas no autorizadas en
reas de trabajo
17
seguridad
Autorizaciones documentadas
El acceso a los datos debe estar autorizados por escrito.
TA
Determinar correcto nivel autorizacin por escrito.
-solo propietarios datos pueden autorizar el acceso a los datos de su
propiedad-
Auditora del acceso lgico

Obtener un conocimiento general de los riesgos de seguridad
revisando documentacin relevante, preguntando,
observando y evaluando riesgos
Documentar y evaluar los controles sobre las posibles vas de
acceso al sistema
revisando los aspectos de seguridad del hardware y el
software e identificando deficiencias y redundancias
Probar los controles sobre las vas de acceso
utilizando tcnicas de auditora apropiadas.

Evaluar el entorno de control de acceso
analizando los resultados de las pruebas y otras evidencias
de auditora obtenidas
Evaluar el entorno de seguridad
revisando las polticas por escrito,
observando las prcticas operativas y los procedimientos
18

Familiarizacin con el entorno de
procesamiento de la informacin
Necesaria para una evaluacin eficaz de los controles de acceso
lgico
Su propsito es determinar en qu reas hay que poner el foco
de la auditora.
Consiste en revisar todos los niveles de seguridad asociados con
la arquitectura de sistemas de informacin
red
plataforma de sistema operativo
base de datos
aplicaciones

Familiarizacin con el entorno de
procesamiento de la informacin
Consiste en obtener una clara comprensin del entorno
gerencial, tcnico y fsico del centro de procesamiento de la
informacin.
Tpicamente incluye: entrevistas, recorridos fsicos, examen de
documentos y evaluacin de riesgos.

Documentacin vas acceso
Ruta lgica que utiliza usuario para acceder informacin.
Terminal(PC) ---------------hw + sw-------------------Datos
TA: comprobar implementacin y seguridad acceso fsico/lgico
19

Secuencia del acceso lgico (1/4)
El usuario utiliza un Terminal (PC) para acceder al sistema
terminal resguardado fsicamente
cd usuario/contrasea cumplan restricciones establecidas.
Software Telecomunicaciones (ST)
intercepta cdigo usuario
direcciona al enlace telecomunicaciones correcto.
TA:
Aseguramiento aplicaciones definidas para ST
controles/funciones telecomunicaciones adecuados y
aprobados
Conveniente contar con ayuda analista software sistemas

Software proceso transacciones
dirige transacciones al software aplicacin.
TA:
correcta identificacin usuario
autorizacin usuario acceso aplicacin
Tablas internas restringidas Admon. Seguridad.

Software Aplicacin
procesa transacciones segn lgica programa
TA
acceso bibliotecas programas produccin
lgica programa cumple requerimientos
SGBD
dirige el acceso a los datos
TA
elementos datos identificados en DD
acceso DD solo Admon BD
elementos datos con control acceso
20

Datos aplicacin.
Software control acceso (SCA)
refuerza seguridad componentes ruta acceso
TA:
componentes ruta acceso definidos para SCA
reglas acceso definen quin sobre qu
principio necesidad de saber
Acceso tablas seguridad solo Admon. Seguridad.

Entrevistas personal sistemas
Fuente informacin valiosa para comprensin seguridad.
Reunin gerente SI
Revisar organigramas/perfiles personal
Personal clave a entrevistar
Admon Seguridad
Gerente Control Red
Gerente Software Sistemas

Realizar un examen de los informes
generados por el SCA
Los informes generados por el SCA brindan al Administrador de
Seguridad la oportunidad de monitorizar el cumplimiento de las
polticas de seguridad
Mediante su revisin de una muestra de los informes, el Auditor
puede determinar si se suministra suficiente informacin
para respaldar una investigacin
si el administrador de seguridad realiza una revisin eficaz de
estos informes.
Los intentos infructuosos de acceso deben ser informados,
identificando la hora, el terminal, los datos de conexin y el
archivo al cual se intent acceder..
21
Prueba de las prcticas y

procedimientos seguridad
Utilizacin tarjetas y llaves terminales
tomar muestra
intentar lograr acceso no autorizado
verificar si seguimiento intentos violacin
Identificacin del terminal
Obtener listado direcciones/ubicaciones terminales.
Inventariar terminales
registrados incorrectamente /faltantes / adicionales.
Verificar identificados en Diagrama de Red -muestreo-

Cdigos usuario y contraseas
Intentar adivinar contrasea muestra cdigos usuario de
empleados
Buscar contraseas cerca terminales/interior cajones/papeleras
Verificar contraseas estn cifradas en tablas.

Cdigos usuario y Contraseas
Autorizacin acceso
Muestreo documentos autorizacin acceso
Autoridad correcta
Autorizacin por necesidad de saber.
Obtener informe reglas acceso y muestrear
determinar si acceso por necesidad de saber
emparejar muestra reglas con documentos autorizacin
Cambio peridico
Entrevistar muestra usuarios
22

Cdigos usuario y Contraseas
Borrado contraseas inactivas
obtener listado cdigos de usuario activos
Emparejar lista con empleados actuales -muestreoSintaxis contraseas
Intentar crear contraseas formato invlido
demasiado corta/larga, repeticin contrasea anterior, ......
Desconexin automtica
Tiempo
Conectarse y esperar
N Intentos
Equivocarse varias veces
Procedimiento reactivacin

Controles recursos de produccin
Utilidades
Bibliotecas LCT (JCL)
Parmetros software sistemas
TA
Quin puede tener acceso recursos
Qu puede hacerse con ese acceso.
Acceso por necesidad de saber.

Registro y generacin informe violaciones acceso
ordenador
Intentar accesos no autorizados.
Prueba coordinada con propietarios datos y Admon Seguridad
Seguimiento de las violaciones de acceso

Obtener muestra informes seguridad
Buscar evidencia seguimiento e investigacin violaciones de
acceso.
Indagar casos no seguimiento
23

Procedimientos devolucin de llamada
Llamadas desde ns autorizados/no

Autorizacin de cambios a la red
muestreo solicitudes cambio recientes
buscar autorizacin apropiada
emparejar solicitud dispositivo red real
emparejar cambios recientes a la red -nuevas lneas, terminales,...con solicitudes de cambio autorizadas.
Verificar acceso software cambio red solo por Gerencia de Red.

Identificacin mtodos eludir seguridad y controles
compensatorios
rea revisin muy tcnica.
Analista software de base / Gerentes Red, Operaciones,
Admon Seguridad
Uso funciones eluden seguridad: registradas, informadas,
investigadas por Admon. Seguridad/Gerente Software Base
Desactivadas funciones salto seguridad innecesarias
Sometidas a controles de acceso lgico
24

Revisin procedimientos administracin contraseas
Determinar lo siguiente:
Existencia procedimientos
aadir/borrar individuos listas CA
cambiar sus derechos
Existencia procedimientos aseguramiento no divulgacin
contraseas
Contraseas generadas longitud adecuada, no fciles adivinar
Cambio peridico contraseas
Gerentes usuarios validan derechos acceso a su personal
Suspensin cdigos usuarios/ inhabilitacin terminal tras un n
violaciones
Identificacin fsica sede CPD discreta y reservada.
25

Auditoria en Seguridad Logica PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria en Seguridad Logica PDF

Uploaded by

Copyright:

Available Formats

TEMA 6

Objetivos del tema

Elementos clave de la gestin de la

Elementos clave de la gestin de la

Elementos clave de la gestin de la

Elementos clave de la gestin de la

Elementos clave de la gestin de la

Elementos clave de la gestin de la

Elementos clave de la gestin de la

cumplir las leyes y regulaciones legales

Elementos clave de la gestin de la

Elementos clave de la gestin de la

Personal tiempo parcial/temporal

Exposiciones de acceso lgico

Exposiciones de acceso lgico

Rutas de Acceso Lgico

Rutas de Acceso Lgico

Rutas de Acceso Lgico

Controles de acceso lgico

Controles de acceso lgico

Controles de acceso lgico

Controles de acceso lgico

La contrasea evita la utilizacin no autorizada

Controles de acceso lgico

Controles de acceso lgico

Controles de acceso lgico

Controles de acceso lgico

necesidad de saber y a la necesidad de hacer y deben quedar

Controles de acceso lgico

Controles de acceso lgico

Biblioteca soportes magnticos

Controles de acceso lgico

Archivos registros histricos

Eludir funcin proceso etiqueta

Controles de acceso lgico

Las ACLs son un registro de

Controles de acceso lgico

Controles de acceso lgico

Controles sobre virus

Controles sobre virus

Controles sobre virus

Controles sobre virus

Auditora del acceso lgico

Auditora del acceso lgico

Auditora del acceso lgico

Auditora del acceso lgico

Auditora del acceso lgico

Terminal(PC) ---------------hw + sw-------------------Datos

TA: comprobar implementacin y seguridad acceso fsico/lgico

Auditora del acceso lgico

Auditora del acceso lgico

Auditora del acceso lgico

Auditora del acceso lgico

Auditora del acceso lgico

Auditora del acceso lgico

Prueba de las prcticas y

Prueba de las prcticas y

Prueba de las prcticas y

Prueba de las prcticas y

Prueba de las prcticas y

Prueba de las prcticas y

Seguimiento de las violaciones de acceso

Prueba de las prcticas y