1 / 198

Auditoría de Seguridad Informática

Auditoría de Seguridad Informática. Introducción. Auditoría La funcion de medir algo en comparación con un estándar La auditoría es efectiva si se aplica a: Politicas Procedimientos Sistemas Hay auditoría de todos colores y sabores La mas común en TI es la de alineación.

abra
Download Presentation

Auditoría de Seguridad Informática

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Auditoría de Seguridad Informática

  2. Introducción • Auditoría • La funcion de medir algo en comparación con un estándar • La auditoría es efectiva si se aplica a: • Politicas • Procedimientos • Sistemas • Hay auditoría de todos colores y sabores • La mas común en TI es la de alineación

  3. Auditoría de alineación o cumplimiento • Consiste en medir que tan bien un sistema o proceso se alinea con las políticas y/o procedimientos que han sido definidos en la organización • La auditoría busca contestar la pregunta • ¿Cómo sabes si…? • Ejemplo, en caso de auditar: • La implementación de la Política de Seguridad • ¿Cómo sabe si es efectiva? • ¿Cómo sabe si los empleados la siguen? • Instalación de nuevo firewall (o cualquier otro sistema) • ¿Cómo sabe si realmente protege a la organización?

  4. Resumen • No importa lo que una organización haga para protegerse, se debe de preguntar: • ¿Cómo sabes si..? • Los auditores contestan esta pregunta por medio de la validación.

  5. Objetivo de la auditoría • Medir y reportar sobre el riesgo. • El auditor ha sido autorizado por la administración para realizar preguntas difíciles sobre la organización, • Después de medir el riesgo, los auditores realizan un reporte sobre con los hallazgos • Ahora la administración puede actuar.

  6. Objetivo Secundario • Incrementar la concientización. • El auditor se apoya de la concientización de la administración para que los riesgos puedan ser reducidos. • Si la administración no quisiera reducir los riesgos, no tendrían un auditor en primer instancia.

  7. Conceptos • Existen algunas definiciones con las cuales un auditor debe estar familiarizado • Evaluación • Alcance • Objetivos • Controles • Remediación • No conformidades • Mitigación • Causa raíz

  8. Evaluación • Típicamente, se utilizan evaluaciones para medir el cómo una auditoría alcanzo sus objetivos • Que tan efectiva fue la auditoría • Que tan bien se aseguro un sistema y como consecuencia, que (otra) cosa podría salir mal. • Cada auditoría incluye recomendaciones • Que hacer para mejorar el estado de seguridad deseado de un sistema, sistemas o procesos • ¿Cómo logramos saber si es sistema fue asegurado? • Por medio de la evaluación.

  9. Alcance de una auditoría • Es identificar claramente qué es lo que vamos a auditar. • También llamada la entidad a auditar (Auditable Entity). • Una vez definido • El auditor se acerca a los individuos que estarán en la mejor posición para entender que objetivos buscan cumplir sus: • Políticas y procedimientos • ¿Qué alcance las medirá de una mejor manera?

  10. Objetivos • El auditor debe familiarizarse con 2 objetivos • La auditoría por sí misma tiene un objetivo • Las políticas, procedimientos y sistemas tienen objetivos también • El primero es lo que esencialmente estamos buscando lograr o medir a través del proceso de auditoría

  11. Objetivos • Tan simple como un intento de medir si un sistema ha sido comprometido al comparar una configuración base conocida del sistema • O tan complejo como medir que tan alineada esta una organización a una serie de políticas y procedimientos.

  12. Objetivo de políticas • Lo que la política o procedimiento esta supuesto a cumplir o lograr. Por ejemplo: • “Todos los usuarios deben autenticarse en un sistema con su propio nombre de usuario y contraseña” • ¿Cuál es el objetivo de esta política?

  13. Objetivos • Primero, la política busca diferenciar a todos los usuarios en un sistema de manera única. • Segundo, esta política requiere que a todos los nuevos usuarios se les proporciones un nombre de usuario y contraseña, en un tiempo considerable, • De manera implícita en el objetivo, todos los usuarios deben tener un nombre de usuario y contraseña cuando lo necesiten. • Si estamos realizando una evaluación con una solución de análisis de vulnerabilidades • Nuestro objetivo es identificar vulnerabilidades en la infraestructura de la organización.

  14. La importancia de los objetivos • La definición de los objetivos y alcance, no necesita tomar mucho tiempo • Sirve para proteger la infraestructura a evaluar • Al mismo tiempo que evita que el auditor mismo tenga problemas durante el proceso de auditoría.

  15. Controles • Si los objetivos son el “Que”, los controles son el “Como”. • Tomando en cuenta la política anterior “Todos los usuarios deben autenticarse en un sistema con su propio nombre de usuario y contraseña” • ¿Qué políticas pueden ayudarnos a cumplir con este objetivo? • Un proceso de administración de usuarios no basta • Usuarios utilizando cuentas de otras personas • Usuarios iniciando sesión desde otros equipos • Un control adecuado sería: • Utilización de tarjetas inteligentes o tokens • Uso de dispositivos biométricos para el inicio de sesión

  16. No conformidades o excepciones • Es simplemente algo que no cumplió los objetivos que fueron establecidos por medio de • Políticas y procedimientos • Que fue identificado durante el proceso de auditoría

  17. Remediación • Una vez que encontramos una no conformidad • Dar una recomendación de alguna forma de remediación. • Si la no conformidad que ha sido identificada fue que las cuentas de usuario no están siendo eliminadas cuando los empleados dejan de trabajar en la organización • la remediación será remover estas cuentas.

  18. Mitigación • En ocasiones no será posible eliminar o remediar un problema. • Tendremos que admitir que no podremos eliminar un riesgo o amenaza en particular • Debido a cómo la tecnología o proceso es utilizada en la organización. • Cuando esto ocurre, debemos de mitigar el riesgo creado como consecuencia del uso de ese proceso o tecnología en la organización.

  19. Causa Raíz • Una parte importante de la auditoría es identificar la causa raíz de las no conformidades • Enfocarse lo que realmente sale mal y no en lo que significa la no conformidad • Si llegamos al doctor con una fractura en el brazo, no nos recetarán una pastilla para el dolor, si no que el doctor revisará el brazo para identificar la gravedad de la fractura • De lo contrario el doctor nunca identificará la causa raíz del dolor.

  20. Auditoría por medio de estandares • Los estándares son muy populares dentro de algunas organizaciones porque pareciera que todo el trabajo duro ya esta hecho, • Lo único que resta es implementar algunos controles para estar seguros. • Para algunas organizaciones, los estándares son vistos como obstáculos • Estándares mas comunes • ISO27001 • SOX • PCI DSS

  21. Auditoría por medio de Baselines • Uno de los mejores métodos de auditoría mas común • Un Baseline es un estado conocido de un sistema. • Este estado debe ser seguro, de manera que el auditor pueda confiar en la integridad del mismo. • A lo largo del tiempo el auditor mide que tanto difiere la configuración del sistema con el Baseline inicial.

  22. Checklists • Una de las principales herramientas del auditor es el checklist. • Los estándares son una excelente referencia para los checklist. • Las mejores practicas o estándares generalmente están organizados por una lista de controles que deberían ser implementados para proveer seguridad a la organización. • El estándar mismo se convierte en un checklist de alto nivel. • En ocasiones algunas organizaciones pueden tener checklist que sufren del mismo problema que las políticas, son muy vagas, sin alcance y no están basadas en alguna referencia internacional.

  23. Ejercicio - Checklist • Compare un checklist con una mejor practica • Con ayuda del profesor y utilizando el material que le proporcione el profesor • Realice: • En la carpeta checklist tiene varios checklist para varios sistemas • En la carpeta Best Practices tiene varios documentos con mejores practicas para diferentes sistemas • ¿Cuál es la diferencia entre ellos? • Escriba un Checklist breve para Windows • Escriba un Checklist breve para Linux

  24. Ejercicio - Buena practicas • Una vez que ha identificado las diferencias entre un checklist y una buena practica • Escriba (en breve) una buena practica para el uso de redes sociales • Al menos 5 puntos o recomendaciones • Escriba (en breve) una buena practica para el uso de una laptop de su organización • Alemnos 5 puntos o recomendaciones

  25. Integrando un equipo de auditoría • La organización de un equipo auditor requiere de un orden jerárquico que garantice el flujo de la información • La división del trabajo en relación con las funciones que tienen que cumplir • Coordinador general • Experiencia en el manejo de proyectos y trato con clientes • Conocimientos avanzados en el tema de auditoría • Líder de proyecto • Es el enlace entre la coordinación, la organización y el equipo de auditoría • Asistente o analista de proyecto • Responsable de atender directamente a todo el personal que interviene en la auditoría • Encargado de documentar los hallazgos, evidencias y observaciones

  26. Mantenimeinto de la experiencia • Es importante que los auditores mantengan su competencia por medio de la actualización de sus habilidades actuales y que obtengan capacitación sobre nuevas técnicas de auditoría y áreas de tecnología. • El auditor debe de mantener su competencia técnica a través de una educación profesional continua. • Durante la planificación de la auditoría, se deben de tomar en cuenta las habilidades y los conocimientos de los auditores, y se asigne al personal para tareas especificas de auditoría.

  27. Auditoría de Seguridad Informática Proceso de Auditoría

  28. Determinando qué auditar • Comúnmente el alcance de la auditoría define como el ¿Qué? de una auditoría. • Cuando estamos definiendo nuestro alcance, no debemos distraernos con el ¿Cómo?. • El cómo, o mas específicamente, como vamos a medir o auditar algo, es el detalle de algo que haremos en el futuro en nuestro proceso de auditoría. • El auditor realizará una investigación después de definir qué es lo que va a auditar, para determinar el cómo (y en ocasiones averiguar si es posible) auditar lo contenido en el alcance.

  29. El Qué vs el Cómo • Supongamos que tenemos que auditar el firewall de una organización “Para cumplir con los objetivos de mi auditoría de este firewall, voy a revisar las reglas de filtrado para asegurarme que estén bloqueando el tráfico malicioso, anómalo o algún ataque”. • Esto suena bien, pero no es suficiente.

  30. El Qué vs el Cómo • Si el auditor simplemente revisa las reglas del firewall, realmente no sabrá si el firewall esta protegiendo o no a la organización. • Lo único que sabrá, será si las reglas listadas por el firewall están correctas o no. • ¿Es posible que el firewall permita pasar mas tráfico del que sus reglas dicen? • Lamentablemente la respuesta es si!!!!. • Si solo revisamos las reglas, solo sabremos qué es lo que hace el firewall en papel. ¿Cómo sabemos que esta configuración cumple con las políticas de la organización? Tenemos que validar el firewall.

  31. El Qué vs el Cómo • Cuando decimos que un firewall ha sido “validado” estamos diciendo que, no solo revisamos las reglas del firewall en busca de algún error • También realizamos pruebas sobre el firewall • Enviando tráfico valido y no valido a través del firewall para validar qué tipo de tráfico realmente esta dejando pasar. • Si consideramos el ¿Cómo? muy temprano como auditores, cabe la posibilidad de que nos encontremos con un problema el cual no sabremos resolver • p.e. auditar algún sistema del cual no tenemos experiencia

  32. El Qué vs el Cómo • En casos como este, es muy común que en lugar de encontrar una forma de medir el ¿Qué?, cambiamos el ¿Qué? por algo que sepamos “Como” auditar. • Mientras que esto nos permitirá terminar la auditoría, es muy peligroso. • Cuando cambiamos el “Que” es muy posible que nos estemos cegando a nosotros mismos de los riesgos que buscamos medir o verificar desde un inicio. “Siempre averigua el “Que” primero, y preocúpate por el “Como” después”

  33. Análisis de riesgos • Es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir. • El proceso de análisis y evaluación de riesgos incluye:  • La selección de un método de análisis y evaluación de riesgo el cual deberá ser adecuada para los requisitos identificados de seguridad de la información, legales y regulatorios. • Determinación de los criterios determinantes para aceptar los riesgos e identificar los niveles aceptables de riesgo. • Identificación, análisis evaluación de los riesgos. • Evaluación de opciones para el tratamiento del riesgo, selección de objetivos de control y controles para reducir los riesgos a niveles aceptables.

  34. Análisis de riesgos • El resultado de un análisis y evaluación de riesgos contribuye para que la organización pueda: • Determinar las acciones y prioridades adecuadas para el tratamiento con el fin de gestionar los riesgos a la seguridad de la información.

  35. Proceso de análisis y evaluación del riesgo

  36. Caracterización del sistema • El primer paso es definir el alcance. • En este paso, los límites del sistema de TI son identificados, junto con los recursos y la información que constituyen el sistema.  • Establece el alcance del esfuerzo de evaluación de riesgos • Obtener información (por ejemplo, el hardware, software, conectividad del sistema • La división responsable o personal de apoyo) esenciales para la definición del riesgo.

  37. Identificación de amenazas • Una amenaza es la posibilidad aprovechar una vulnerabilidad para causar algún daño.  • Una vulnerabilidad es una debilidad que puede ser explotada accidental o intencionalmente.  • Para determinar la probabilidad de una amenaza, se debe considerar la fuente de amenaza, los posibles puntos vulnerables y los controles existentes. • El objetivo de este paso es identificar las fuentes potenciales de amenaza, así como la identificación de las amenazas aplicables al activo en cuestión.

  38. Identificación de las vulnerabilidades • El objetivo de este paso es desarrollar una lista de las vulnerabilidades del sistema (defectos o puntos débiles) que podrían ser explotados por las fuentes potenciales de amenaza.

  39. Análisis de control • Es analizar los controles que se han implementado, o están previstos para su aplicación, por la organización • Para minimizar o eliminar la posibilidad (o probabilidad) de que una amenaza aproveche una vulnerabilidad y se afecten activos de la organización.

  40. Determinación de probabilidad • En esta etapa se determina cual es la probabilidad de que una amenaza aproveche una vulnerabilidad y como consecuencia se afecten los activos de la organización. • Para la determinación de la probabilidad se deberán considerar: • Motivo y capacidad de la fuente de amenaza • La naturaleza de la vulnerabilidad • Existencia y eficacia de los controles actuales

  41. Análisis de impacto • Determina los efectos adversos resultantes por la explotación de la vulnerabilidad. • Antes de dar inicio al análisis de impacto es necesario obtener información relacionada con la misión del activo dentro del proceso, que sistemas o información crítica es utilizada y el grado de sensibilidad de la misma.

  42. Determinación del riesgo • El objetivo de este paso es evaluar el nivel de riesgo una vez identificada las amenazas y las vulnerabilidades. La determinación del riesgo para una particular amenaza/vulnerabilidad puede ser expresada en función de: • La probabilidad de que una amenaza pueda aprovechar una vulnerabilidad. • La magnitud del impacto de que una amenaza haya aprovechado una vulnerabilidad y el ataque haya resultado exitoso. • La efectividad de los controles existentes para reducir o eliminar el riesgo.

  43. Recomendaciones de control • Se proporcionan los controles que podrían mitigar o eliminar los riesgos identificados y que puedan afectar la operación de la organización. • Los siguientes factores deben ser considerados en la recomendación de los controles y las soluciones alternativas para minimizar o eliminar los riesgos identificados: • Eficacia de las opciones recomendadas (por ejemplo, la compatibilidad del sistema)Legislación y regulación • Política de la organización • Impacto operativo • Seguridad y fiabilidad

  44. Documentación de resultados • Una vez que la evaluación del riesgo ha sido completado (amenazas y vulnerabilidades identificadas, los riesgos evaluados y los controles identificados), los resultados deben estar documentados en un informe. • Un informe de evaluación de riesgos es un documento de gestión que ayuda a la alta dirección, los propietarios de la misión a tomar decisiones sobre la política, los procedimientos, el presupuesto y los cambios requeridos.

  45. Metodologías de análisis de riesgos • Actualmente existen numerosas metodologías y herramientas para la gestión del riesgo • Octave • NIST (800-30) • FRAP • COBRA • RISK Watch

  46. Etapas de una auditoría • Una metodología de auditoría debe ser establecida y aprobada por la gerencia de auditoría para lograr consistencia en el enfoque de la misma. • Esta metodología se debe formalizar y comunicar a todo el personal de auditoría. • El auditor generalmente seguirá un curso de acción, pasos secuenciales del programa de auditoría para obtener un entendimiento de la entidad que esta auditando. • A continuación se enumeran los pasos de una auditoría típica

  47. Etapas de una auditoría • Sujeto de auditoría • Identificar el área que será auditada • Objeto de auditoría • Identificar el propósito de la auditoría. por ejemplo, un objetivo podría ser determinar si los cambios del código fuente del programa ocurren en un ambiente bien definido y controlado. • Planificación • Identificar habilidades y recursos técnicos necesarios • Identificar las fuentes de información para prueba o revisión tales como flujogramas, políticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores. • Identificar las localidades o instalaciones que serán auditadas

  48. Etapas de una auditoría • Procedimiento de auditoría y recolección de información • Identificar y seleccionar el enfoque de auditoría para verificar y comprobar los controles. • Identificar una lista de individuos que serán entrevistados. • Identificar y obtener las políticas, estándares y directrices departamentales para realizar la revisión. • Desarrollar herramientas y metodología de auditoría para probar y verificar el control.

  49. Etapas de una auditoría • Evaluación de los resultados de la auditoría • Interno de la organización • Comunicación con la gerencia • Interno de la organización • Preparación del reporte de auditoría • Identificar los procedimientos de seguimiento de la revisión • Identificar los procedimientos para evaluar/Probar la eficiencia y efectividad operacional • Identificar los procedimientos para probar los controles • Revisar y evaluar la calidad de los documentos, políticas y procedimientos.

  50. Auditoría de Seguridad Informática Tecnicas de auditoría

More Related