Auditoria Computacional Unidad 4.

Seguridad de Sistemas

Unidad 4. Seguridad de Sistemas Controles Generales – Continuidad del Servicio
Caso de Estudio El inspector es contratado para detectar la vulnerabilidad del Sistema y encontrar dónde se produce el problema que no permite la disponibilidad de servicio las 24 horas del día los 7 días de la semana. Evaluación de las Redes de Computadores La evolución de la tecnología y la disminución constante de los costos en los dispositivos de interconexión han propiciado la implementación de redes de computadores. Este factor implica que los usuarios de un sistema computacional deben conocer los beneficios y riesgos asociados a la tecnología. Las redes de computadores ofrecen una serie de facilidades entre las que destacan las siguientes: a) b) c) d) e) Acceso compartido a sistemas, datos y recursos Conectividad con usuarios remotos en forma on-line. Correo electrónico y sistemas de mensajería asociados. Acceso a dispositivos remotos. Ejecución de procesos en sistemas remotos.

Existen diferentes riesgos asociados al uso de las redes de computadores, principalmente el acceso no autorizado a los programas y datos de la organización, que si no es controlado debidamente puede derivar en daños serios para la organización. Para asegurar el buen funcionamiento de las redes de comunicaciones de datos se deben considerar algunos aspectos como los siguientes: a) Mantener un registro automático de los accesos remotos al sistema, principalmente de los incorrectos. b) Mantener un control sobre los protocolos de comunicaciones a fin de que operen sólo aquellos que están autorizados. c) Utilizar software de monitoreo que permite vigilar el tráfico de la red, para detectar puntos de vulnerabilidad. d) El protocolo utilizado para realizar las transacciones debe garantizar la adecuada transmisión de datos.

Prof. Víctor Valenzuela Ruz

1

En casos críticos. b) Se deben implementar mecanismos de control al nivel de hardware y software que garanticen la seguridad e integridad de los datos de una red y de los recursos físicos que la componen.Auditoria Computacional Unidad 4. Actualmente. Seguridad de Sistemas e) Cuando los datos a transmitir sean de carácter privado o crítico se deben codificar. el mercado ofrece una gran variedad de software y hardware especializado en limitar el acceso a los recursos de red. c) Se debe proveer de mecanismos de monitoreo y control tanto de hardware como el software de red. De esta forma los datos quedarán accesibles sólo aquellos que poseen la clave de decodificación asociada al algoritmo lógico-matemático utilizado en el proceso de encriptación. Víctor Valenzuela Ruz 2 . Debe basarse en una serie de elementos que garanticen la integridad de los datos que se administran y transmiten. Por ejemplo: a) La organización debe proveer de procedimientos y políticas que permitan controlar el hardware y software que opera al nivel de redes. b) Se debe proveer las condiciones para una operación eficiente de red e incluir normas y procedimientos de capacitación. En otros casos será necesario acompañar los datos de una firma electrónica que permita asegurar que los datos que acompañan a un documento correspondan a la fuente que los emitió. También es importante considerar los siguientes aspectos: a) Se deben implementar controles que limiten y controlen el acceso a los datos. al nivel de un router se pueden generar listas de acceso que controlen tanto el tráfico entrante como saliente. Prof. Por ejemplo. operación y recuperación ante fallos. respaldo. puede ser necesario el uso de criptografía cuando los datos viajan a través de los medios de una red o siendo almacenados. La utilización de estos dispositivos reduce significativamente el riesgo y permiten mejorar la productividad. es necesario el uso de recursos físicos y lógicos que permitan restringir el acceso a los sistemas de telecomunicaciones de la organización. garantizando su integridad y fidelidad. Por ejemplo.

d) Se debe verificar que se aplican las políticas de respaldo de datos. con un conjunto de dispositivos y medios destinados a soportar las comunicaciones sobre un protocolo determinado (generalmente TCP/IP). se debe considerar que existan objetivos de corto y largo plazo para el procesamiento de datos de red.Auditoria Computacional Unidad 4. Hay que observar que toda la implementación que se realice al nivel de redes debe ser sometida a un análisis costo/beneficio y que considere al momento de la implementación algunos aspectos como los siguientes: a) b) c) d) Participación de todos los implicados Riesgos asociados a la comunicación entre los sistemas. Prof. Seguridad de Sistemas Administración de una Red Computacional Hay aspectos fundamentales que considerar en lo relativo a la administración de redes. deben estar claramente documentadas. Una red de computadores opera sobre una topología determinada. Víctor Valenzuela Ruz 3 . Por ejemplo. e) Las responsabilidades relativas a la recuperación ante fallos. b) Se debe documentar además los procedimientos de operación relacionados con los usuarios del ambiente de redes. Los requerimientos de procesamiento de los usuarios locales y remotos. Se deben establecer elementos de control de procesamiento de redes que deben ser evaluados periódicamente. tanto de las nuevas implementaciones como las ya en uso. Por ejemplo: a) Hay que verificar que las actividades propias del ambiente de redes deben quedar debidamente documentadas. Pruebas de implementación que demuestren el nivel de cumplimiento. c) Se debe establecer un mecanismo para garantizar la compatibilidad de archivos entre las distintas aplicaciones.

se deben implementar controles que garanticen que mientras se realice transferencia de datos entre sistemas remotos la información se mantiene consistente.Auditoria Computacional Unidad 4. 4. Con respecto a la integridad de los datos. 2. Prof. Víctor Valenzuela Ruz 4 . 6. Controles a la definición de los datos Controles de acceso Seguridad de la comunicación Seguridad física Plan de contingencia Continuidad del Servicio Control de software de red Controles a la Definición de los Datos Los controles a la definición de los datos deben estar concebidos desde la definición de los datos hasta las interfaces que acceden a estos. 5. Hay que considerar que los datos son un recurso compartido y por ello deben implementarse mecanismos eficientes que permitan controlar el acceso a estos. 7. Seguridad de Sistemas Caso de estudio Hay algún proceso que está botando la red computacional Lista de actividades de investigación 1. 3.

Por otra parte. Por otra parte. la hora. c) El Terminal de red se debe bloquear después de un número de intentos no autorizados. debe definirse un grupo responsable de la seguridad independiente de la Gerencia de la organización de la red. pueden implementarse procedimientos como los siguientes: a) Procedimientos de autentificación b) Mecanismos destinados a mantener la integridad de la comunicación. donde se le asigna acceso a los recursos del computador que esté en directa relación con las responsabilidades que le han sido asignadas. deben verificar qué procedimientos de seguridad son los adecuados para proteger a los recursos físicos. que se preocupe que la documentación de seguridad se encuentre permanentemente actualizada. Víctor Valenzuela Ruz 5 . los Departamentos de Tecnología de Información. el identificador de usuario.Auditoria Computacional Unidad 4. d) Los usuarios deben poseer perfiles de usuario. Este debe ser revisado periódicamente como una medida de prevenir posibles fallas en los sistemas de redes. Prof. b) Los usuarios deben acceder solamente a los terminales de red autorizados mediante su respectivo nombre de usuario y contraseña. Seguridad de Sistemas Para ello. Así como también. A nivel de organización. deben mantener un inventario actualizado de los equipos de redes. Entre otras cosas debe mantener documentación como la siguiente: a) Del hardware de comunicaciones de datos y computadores. la fecha y hora. se deben considerar los siguientes elementos que aseguren el control de acceso: a) Los usuarios solamente deben tener acceso a sus carpetas (directorios) dentro de los discos o volúmenes asignados. el usuario y la aplicación utilizada. b) Un registro local de los accesos fallidos que contenga el Terminal de red. b) Del sistema operativo c) De las aplicaciones computacionales críticas Controles de Acceso Respecto de los controles de acceso es importante mantener registros de auditoria que informen actividades como las siguientes: a) Un registro local de los accesos y salidas desde los sistemas (login/logout) en el cual se refleje el Terminal de red.

Prof. c) Consideraciones diversas y en distintos niveles en caso de interrupciones del servicio o emergencias. d) Lista de documentos que debe ser mantenida en respaldo fuera de los recintos de operación.Auditoria Computacional Unidad 4. Por ejemplo. Este plan debe consignar al menos los siguientes aspectos: a) Protección a los archivos de datos comunes. b) Procedimientos para la recuperación en los sistemas de red. c) Las estaciones de trabajo de red deben estar dotadas de mecanismos de seguridad que impidan su traslado no autorizado. Víctor Valenzuela Ruz 6 . Seguridad Física Con respecto a la seguridad física. Plan de Contingencia Las organizaciones deben poseer un plan de contingencia que permita la normal operación de las redes de computadores. se debe considerar situaciones como las siguientes: a) Transmisión incompleta b) Alteración no autorizada de datos c) Divulgación no autorizada de información Es importante que se utilice los recursos de seguridad que traen consigo los dispositivos de conectividad de forma que se prevenga al nivel de hardware los accesos no autorizados que puedan alterar los niveles de seguridad en la red. Seguridad de Sistemas Seguridad en la Comunicación de la Red Hay varios aspectos que se deben verificar para mantener un adecuado nivel de seguridad en la comunicación a través de la red. se deben considerar normas que controlen aspectos como los siguientes: a) Que la disposición de los equipos de comunicación queden ubicados en lugares con acceso controlado. b) Los servidores de comunicaciones deben quedar en un recinto con acceso sólo al personal autorizado.

la red debe estar provista de mecanismos que reduzcan el impacto que tienen las fallas en el sistema de red. tal como la incorporación de controles y personal capacitado para la rápida recuperación de una red. Entre otros aspectos se debe verificar las siguientes situaciones: a) Que existan procedimientos documentados para la evaluación de la red en cuanto a su desempeño. La red debe ser concebida de forma que la falla en un nodo no provoque la caída en el sistema completo. Control del Software de Red Es importante comprobar que el software de comunicación al nivel de red posee mecanismos de control como los siguientes: a) Hay que verificar que se han documentado los procedimientos de mantención del software. c) Que se han implementado contratos de mantención preventivas. c) Verificar la frecuencia con que ocurren fallas y los tiempos de respuestas asignados a fin de tomas acciones correctivas. Prof. tiempos de respuesta y tiempos de recuperación ante fallas. Dada la importancia crítica que tienen los datos cuando se administran en forma remota la pérdida de conectividad o fallas en el servicio pueden causar serios problemas para el cumplimiento de los objetivos de la organización. Por ello. Evaluación del Hardware Computacional En la actualidad prácticamente todas las organizaciones poseen algún nivel de implementación de hardware computacional destinado a la optimización de sus operaciones. Víctor Valenzuela Ruz 7 . d) Que se ha implementado software de servicio. b) Que se ha documentado los procedimientos para la resolución de problemas indicando y que se indican las responsabilidades respectivas.Auditoria Computacional Unidad 4. tales como antivirus y antiespía (spyware). Seguridad de Sistemas Continuidad del Servicio Es sumamente importante mantener la continuidad del servicio al nivel de redes. b) Que el software contiene mecanismos de tratamientote errores y control de los accesos.

Prof. c) Aún cuando pareciera ser simple la utilización del equipamiento computacional. Controles de Acceso al Equipamiento Para que se pueda proteger el equipamiento contra los riesgos. muchas veces se requiere de capacitación para aprovechar este en su totalidad. accesos indebidos. robo. La presencia de equipamiento manual y la automatización de los procesos manuales por parte de estos involucran riesgos y responsabilidades.Auditoria Computacional Unidad 4. sin embargo la administración de este y la necesidad de software asociado puede encarecer los costos al nivel de que no pueda ser utilizado. El equipamiento requiere de controles específicos destinados a su protección contra la pérdida de datos y daños en los programas que contienen derivados de golpes. Seguridad de Sistemas El hardware permite a la organización aumentar su eficiencia y flexibilidad. b) Habitualmente los equipos quedan dispuestos en los escritorios habituales de los trabajadores con escasa protección al acceso no autorizado. Algunos de los riesgos que se pueden atribuir al hardware computacional: a) Muchas veces el costo asociado al hardware es menor. la organización debe poseer un conjunto de políticas y procedimientos relativos al uso de los equipos por parte de los usuarios. Víctor Valenzuela Ruz 8 .

b) Que se implementen efectivamente los mecanismos de identificación de usuarios y un plan de cuentas que regule los accesos. Por ejemplo: a) Establecer una política clara sobre la adquisición de partes y piezas críticas. d) Revisar las normas sobre la adquisición de equipamiento computacional. b) Aplicar controles de seguridad que controlen el acceso a los equipos. Adicionalmente. b) Controlar las políticas de respaldo y recuperación ante daños físicos c) Verificar que se han implementado los controles de acceso a los recursos de informáticas. e) Verificar que se aplican las normas que dicen relación con la instalación de software en los computadores.Auditoria Computacional Unidad 4. Víctor Valenzuela Ruz 9 . impidiendo la instalación de productos no autorizados. b) Documentar el proceso de adquisición de equipos de forma de asegurar la compatibilidad entre los distintos componentes. c) Controles que impidan que el personal dañe el equipamiento por falta de entrenamiento o falta de mantención. Plan de Contingencia Como una forma de asegurar la continuidad del servicio la organización debe incorporar en el plan de contingencia definiciones respecto del hardware. programas y datos de forma que no se dañen los equipos ni se difunda la información contenida en estos. Continuidad del Servicio Las organizaciones deben poseer un conjunto de políticas y procedimientos debidamente documentados para la adquisición y uso del hardware computacional de forma que se asegure la continuidad del servicio. Seguridad de Sistemas Algunos de los elementos críticos para una auditoria al nivel de hardware computacional son: a) Aplicar Controles al software en uso de forma que se limite el acceso a este. es necesario para proveer continuidad del servicio que se tengan en cuenta las siguientes consideraciones: a) Asegurar que los recursos han sido clasificados de acuerdo a su importancia y vulnerabilidad. a la modificación no autorizada de software. Por ello es importante aplicar algunos controles como los siguientes: a) Verificar el desempeño del Hardware. Prof.

Verificar que las aplicaciones contenidas en la memoria en tiempo de ejecución sean autorizadas. d) Establecer procesos críticos de adquisición que no retarden la compra de componentes críticos ante fallas. se deben implementar controles que permitan que los sistemas computacionales y el hardware subyacente realicen procesos sobre la información que debe procesar por usuarios debidamente autorizados y bajo un esquema de seguridad que proporcione confiabilidad tanto a nivel de transacciones como a nivel de datos. e) Comprobar que se ha establecido un centro de soporte y que este da respuesta oportuna a los requerimientos del usuario. Seguridad de Sistemas c) Comprobar la existencia de fuentes de energía alternativa o de respaldo y verificar constantemente el estado de estas. e) Proveer de software antivirus en los computadores que tienen contacto con recursos externos. Siempre que sea conveniente. Prof. Controles de Desempeño Una forma de verificar la calida de los procesos y propiciar a la eficiencia es establecer controles sobre el desempeño del equipamiento.Auditoria Computacional Unidad 4. Víctor Valenzuela Ruz 10 . Algunas actividades que pueden contribuir son las siguientes: a) b) c) d) Controlar que se capacita a los usuarios en el uso del hardware Verificar que los programas de mantención son aplicados periódicamente. Comprobar que el contenido de los discos duros es el que corresponde.