Introducción
Los sistemas de tecnología de la información desempeñan un papel crítico en casi la totalidad de las empresas y cada vez es más frecuente encontrar portales que ofrecen productos y servicios a través de la Red, por lo que la seguridad de las tecnologías de información se convierte en un tema de crucial importancia.
Por otro lado, la evolución en los últimos años de las redes informáticas y fundamentalmente de Internet, ha sido el factor fundamental que ha hecho que la Seguridad Informática y sus estándares cobrasen una importancia vital en el uso de sistemas informáticos conectados. Desde el momento en que la computadora se conecta a Internet, se abren una serie de posibilidades que traen consigo una serie de nuevos y en ocasiones complejos tipos de ataque, ya que hay comunicaciòn con cualquier usuario en cualquier parte del mundo.
Existe un acuerdo y conciencia general sobre la importancia de la Seguridad de los Sistemas de Información (SSI) que está relacionada con la disponibilidad, confidencialidad e integridad de la información tratada por las computadoras y las redes de comunicación.
Para mantener un sistema de información actualizado y en condiciones de funcionamiento se hace necesaria una supervisión constante por parte de profesionales, denominada Auditoría.
A continuación se explican algunas definiciones, normas y los factores a tener en cuenta a la hora de realizar una Auditoría a un Sistema de Información.
Según Padlocks (s/f) Auditar consiste en: "Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y generales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente."
Las auditorías son una herramienta para mejorar rentabilidad, seguridad y la eficacia de sus procesos; no son sólo una herramienta de medida sino también un elemento constructivo básico de sus sistemas de mejora continua.
Un tipo de Auditoría que se está realizando cada vez con mayor frecuencia, es la denominada Auditoria de la Seguridad Informática donde se considera la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.
Las auditorias de seguridad de sistemas de información Web, permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.
Las empresas que tengan servidores, tanto compartidos o dedicados cómo privados o en internet, necesitan aplicar medidas de seguridad tanto pasivas como activas, sobretodo tener en cuenta los estándares, guias, procedimientos y los consejos de técnicos de sistemas expertos en sistemas de información y abogados expertos en seguridad informática y jurídica. Es imprecindible que el personal de la empresa tenga una formación conínua al ritmo de evolución del cambio de las tecnologías de la información.
Realizar auditorias con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante una auditoria.
Según Sayvict (2006), para auditar un Sistema de Información se deben tomar en cuenta algunos aspectos relativos al control de la Seguridad de la Información, en 3 líneas básicas:
1) Aspectos generales relativos a la seguridad: En este grupo de aspectos se consideran entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad física de las instalaciones, del personal informático, etc.
2) Aspectos relativos a la confidencialidad y seguridad de la información: Estos aspectos se refieren no solo a la protección del material, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma). A continuación se detallan algunos factores a considerar:
a) Adquisición de Certificados de Seguridad
El certificado de seguridad impide que terceros puedan ver, interceptar y/o alterar los datos, asegurando la transmisión de información en un servidor seguro. Generalmente los certificados se usan para generar confianza en la legitimidad de una clave pública. Esencialmente son documentos digitales que protegen a las claves públicas del fraude, de la falsa representación o de la alteración. Un uso seguro de la autenticación implica adjuntar uno o más certificados con cada mensaje firmado. El receptor del mismo verificará el certificado usando la clave pública de la Autoridad Certificante, y a continuación, asegurada su confianza en la clave pública del remitente, verificará la firma del mensaje.
La encriptación y cifrado de datos, mediante Certificados de Seguridad SSL, permite asegurar la veracidad de la información y la autenticidad de quienes intervienen en las transacciones electrónicas. SSL implementa un protocolo de negociación para establecer una comunicaión segura a nivel de socked (nombre de máquina más puerto), de forma transparente al usuario y a las aplicaciones que lo usan.
Durante el proceso de comunicación segura SSL existen dos estados fundamentales, el estado de sesión y el estado de conexión. A cada sesión se le asigna un número identificador arbitrario, elegido por el servidor, un método de compresión de datos, una serie de algoritmos de encriptación y funciones hash, una clave secreta maestra de 48 bytes y un flag de nuevas conexiones, que indica si desde la sesión actual se pueden establecer nuevas conexiones. Cada conexión incluye un número secreto para el cliente y otro para el servidor, usados para calcular los MAC de sus mensajes, una clave secreta de encriptación particular para el cliente y otra para el servidor, unos vectores iniciales en el caso de cifrado de datos en bloque y unos números de secuencia asociados a cada mensaje.
¿Cómo podemos saber si una conexión se está realizando mediante SSL? Generalmente los navegadores disponen de un icono que lo indica, generalmente un candado en la parte inferior de la ventana. Si el candado está abierto se trata de una conexión normal, y si está cerrado de una conexión segura. Si hacemos deble click sobre el candado cerrado nos aparecerá el Certificado Digital del servidor web seguro.
Fuente: http://www.evidaliahost.com/certificados/faq/que_es_un_certificado.php
b) Procesamiento de los datos de las tarjetas de crédito después que llegan al servidor.
Con la puesta en marcha de diversos medios de pago digitales, se está incrementando la existencia de transacciones comerciales llevadas a cabo en su totalidad a través de la red (desde el lanzamiento de la oferta hasta el pago por el consumidor o usuarios del producto o los servicios ofertados).
Un servidor seguro es un procesador que permite que la información que viaja entre el Servidor y el PC del usuario vaya "encriptada" y "controlada" de forma que no pueda ser leída ni manipulada por terceras personas.
El funcionamiento al conectarse a un servidor seguro, éste le obliga a que se autentifique. La seguridad de estar en un servidor seguro se obtiene mediante un certificado digital, el cual es expedido por una compañía independiente, la cual está autorizada legalmente para garantizar que un determinado servidor pertenece a una compañía determinada. A través del certificado de seguridad el usuario obtiene la confirmación de que está enviando la información al lugar correcto. Finalidad Incrementar la confidencialidad y la fiabilidad de las transacciones on-line y mantener en todo momento la privacidad de los datos emitidos. Este sistema de protección criptográfica impide que los datos transmitidos puedan ser reconocidos por un tercero ajeno a la transacción que logre infiltrarse ilegalmente en la comunicación (como puede ser el caso de un hacker).
El protocolo SSL proporciona los servicios de cifrado de datos, autenticación de servidores, integridad de mensajes y, en menor grado, la identificación del cliente para conexiones TCP/IP (Transmission Control Protocol/ Internet Protocol). El protocolo SSL proporciona un canal de comunicaciones entre los servidores y los navegadores a través del cual, cifrando los datos intercambiados, las partes pueden celebrar transacciones electrónicas con seguridad.
El SSL funciona de forma sencilla, se basa en la encriptación de los datos mediante la utilización de una clave de sesión y la aplicación de una clave pública (normalmente la RSA). El funcionamiento del protocolo SSL puede resumirse en 4 fases:
1. La denominada "Fase Hola", momento en el cual el navegador y el servidor se deben poner de acuerdo respecto a los algoritmos necesarios para mantener la confidencialidad y la autenticación.
2. Una vez alcanzado el acuerdo se inicia la "Fase de Autentificación", etapa en la cual el servidor envía al navegador el certificado que contiene su clave pública, solicitando al mismo tiempo el certificado del cliente.
3. Después, el cliente envía al servidor una clave maestra, con la cual se genera la clave de sesión que cifrará los datos que las partes intercambien a través del algoritmo de cifrado acordado. La clave de sesión es remitida por el usuario debidamente cifrada gracias a la utilización de la clave pública del servidor. Esta parte del proceso se conoce como "Fase de Creación de Clave de Sesión".
4. Por último, en la "Fase de Verificación" se comprueba tanto la autenticidad del servidor y del usuario, como la seguridad del canal establecido. Concluida esta ultima fase, se da inicio a una sesión segura entre las partes.
c) Estrategia para crear confianza a sus clientes que van introducir sus tarjetas de crédito y no van ser estafados.
Las principales empresas de tarjetas de crédito están luchando por detener los incidentes de fraude financiero que han afectado a varias organizaciones y a sus consumidores. Consecuentemente, las organizaciones que aceptan transacciones de pagos con tarjeta tienen que comprometerse a cumplir PCI DSS para finales de 2007. Las organizaciones que no puedan cumplir, se arriesgan a no tener permitido el tratamiento de información de titulares de tarjeta y a sanciones de hasta 500.000$ si los datos son perdidos o robados.
El marco de seguridad de datos de la Industria de Pagos con Tarjeta (PCI) fue creado por American Express, Discover Financial Services, JCB, MasterCard Worldwide, y Visa Internacional. Antes de 2004, cada una de las asociaciones tenía un conjunto propietario de requerimientos de seguridad de la información que a menudo eran agobiantes y repetitivas para los participantes en redes de varias marcas. Posteriormente las asociaciones crearon un conjunto uniforme de requerimientos de seguridad de la información para todas las marcas nacionales de tarjetas (exclusiva de boutiques y etiquetas privadas). Estos requerimientos han pasado a ser conocidos como el Estándar de Seguridad de Datos PCI (PCI DSS), que rige en todos los canales de pago: Venta al detalle, por correo, por teléfono y comercio electrónico.
¿Qué es el consejo de estándares PCI? El Consejo de Estándares de la Industria de Pagos con Tarjeta es una institución puesta en marcha por American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa International con el objetivo de mejorar la seguridad de las cuentas de pago. Aspira a conseguir este objetivo mediante la adopción obligatoria del Estándar de Seguridad de Datos PCI (PCI DSS) - por todos los negocios que almacenan, procesan y/o transmiten información de tarjetas de crédito/débito.
¿Qué es PCI DSS? PCI DSS significa Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta. Este estándar (conocido comúnmente como ‘PCI’) representa un conjunto común de prácticas convenientes de seguridad que ayudan a garantizar la seguridad en el manejo de información de pagos con tarjeta. Creada por las 5 principales empresas de tarjetas (American Express, JCB, MasterCard y Visa) este estándar comprende 12 diferentes requerimientos que están diseñados para:
1. Construir y mantener una red segura
2. Proteger la información (de titulares de tarjeta) en tránsito o inactiva
3. Mantener un programa de gestión de vulnerabilidad
4. Implementar fuertes medidas de control de acceso
5. Monitorear y probar regularmente su infraestructura de TI Mantener una directiva de seguridad de la información.
Para crear confianza a los clientes que van introducir sus tarjetas de crédito y no van a ser estafados, es necesario cumplir con los doce requerimientos del PCI DSS, que definen la necesidad de:
1. Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta.
2. No utilizar las contraseñas y otros parámetros de seguridad del sistema predefinidos por el fabricante.
3. Proteger la información almacenada de titulares de tarjeta.
4. Encriptar la transmisión de información de titulares de tarjeta a través de redes públicas, abiertas.
5. Utilizar software o programas anti-virus actualizados regularmente.
6. Desarrollar y mantener sistemas y aplicaciones seguros.
7. Restringir el acceso a información de titulares de tarjeta según la necesidad del negocio.
8. Asignar un Identificador único a cada persona con acceso a un ordenador.
9. Restringir el acceso físico a la información de titulares de tarjeta.
10. Seguir y monitorear todos los accesos a los recursos de red y a la información de titulares de tarjeta.
11. Probar regularmente los sistemas y procesos de seguridad.
12. Mantener una directiva que dirija la seguridad de información de empleados y contratistas.
3) Aspectos jurídicos y económicos relativos a la seguridad de la información: En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar los delitos informáticos que se cometen en la empresa.
1) ISO 20000:
La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software. La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).
La certificación ISO 20000 proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de tecnología de la información fiables, es un reto, pero también es una oportunidad que tienen las empresas para salvaguardar sus sistemas de gestión de tecnología de la información, mejorar la satisfacción global de sus clientes/empleados, así como mejorar continuamente su imagen como empresa.
2) La serie ISO/IEC 27000:
Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En esta serie de estándares se encuentran:
• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita.
• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI (Sistema de Gestión de la Seguridad de la Información) de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
• ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.
• ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
• ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
• ISO 27005: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2008. Consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI.
• ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
• ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.
• ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
• ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
• ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.
• ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.
• ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.
• ISO 27799: En fase de desarrollo; su fecha prevista de publicación es 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002).
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, y el aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
En la tradicional auditoría de sistemas, el auditor aplica directamente a los mismos sus herramientas de auditoría o sus ‘prácticas cerebrales’ para comprobar la solidez de dicho sistema. Incide de forma clara sobre el mismo en la búsqueda de agujeros de seguridad que explotar de cara a incluirlos en su informe final. Se utilizan técnicas de hacking ético u otras de ingeniería social en muchos de los casos.
En un instante dado, la Auditoría de Sistemas puede aportar hallazgos para la mejora del SGSI, requiere de personal altamente cualificado en sistemas informáticos y en el análisis de vulnerabilidades y amenazas a los que se ven sometidos los sistemas. La especialización aplica también, incluso, a la tipología de máquinas a auditar.
En resumen, la Auditoría de Sistemas Informáticos tiene una vertiente más técnica y se centra en la verificación de controles en el procesado de información en sistemas informáticos, incidiendo sobre los mismos para poder evaluar su eficacia y poder presentar el correspondiente informe a la alta dirección. Se verifica la información en términos de confidencialidad, integridad, disponibilidad, entre otros.
Durante las actuaciones de auditoría se examinan y evalúan los procesos dentro del Área de Procesado de Datos, analizando los recursos aplicados al procesado y así poder tomar conclusiones sobre los sistemas computarizados, con la consecuente toma de evidencias que respalden sus juicios sobre los sistemas.
1. Bailey, C. (1997). Aspectos para Auditorías de Sistemas de Información y Tecnologías Informáticas e implementación de estándares de Seguridad Informática. Disponible: http://www.monografias.com/trabajos32/auditoria-seguridad-informatica/auditoria-seguridad-informatica.shtml. [Consulta: 31 de octubre de 2007].
2. Centro de datos (2005). http://www.centrodedatos.com/certificados-ssl.php. Disponible: http://www.centrodedatos.com/certificados-ssl.php. [Consulta: 02 de noviembre de 2007].
3. Einnova (2007). Auditoria informática y sistemas de la información. Disponible: http://www.auditoriasistemas.com/. [Consulta: 31 de octubre de 2007].
4. Evidaliahosting (2007). Certificados SSL 128 bits. Disponible: http://www.evidaliahost.com/certificados/faq/que_es_un_certificado.php [Consulta: 02 de noviembre de 2007].
5. Farias, M. (s/f). Firmas Digitales. Disponible: http://www.monografias.com/trabajos42/firmas-digitales/firmas-digitales.shtml [Consulta: 02 de noviembre de 2007].
6. Fernández, J. (2006). Auditoria interna de un SGSI segun ISO 27001. Disponible: http://www.bureauveritas.es/newsletter/newsletter%203/laletra3_27001.asp. [Consulta: 01 de noviembre de 2007].
7. GFI (2007). Documento en línea. Disponible: http://www.gfihispana.com/es/security/pcifaqs.htm . [Consulta: 27 de octubre de 2007].
8. Monografías.com (1997). Auditoría de Sistema y políticas de Seguridad Informática. Documento en línea. Disponible: http://www.monografias.com/trabajos12/fichagr/fichagr.shtml . [Consulta: 27 de octubre de 2007].
9. Padlocks (s/f). Auditoria de Sistemas. Disponible: http://vbarreto.tripod.com.ve/keys/audi/audi01.html. [Consulta: 31 de octubre de 2007].
10. Segu-info(2006). Seguridad de la información. Documento en línea. Disponible: http://www.segu-info.com.ar/terceros/jpecantet_auditoria-seguridad.htm [Consulta: 29 de octubre de 2007].
11. SGS (2007). ISO 20000. Disponible: http://www.es.sgs.com/es/iso_20000?serviceId=10009985&lobId=19982. [Consulta: 25 de octubre de 2007].
12. Sayvict, D. (2006). Monografias.com - Auditoría de Sistemas. Disponible: http://www.monografias.com/trabajos40/auditoria-de-sistemas/auditoria-de-sistemas.shtml. [Consulta: 31 de octubre de 2007].
13. Webtaller (2007). ¿Que es un certificado de seguridad SSL?. Disponible: http://www.webtaller.com/maletin/articulos/que-es-certificado-seguridad-ssl.php. [Consulta: 02 de noviembre de 2007].
14. WWW.ISO27000.ES (s/f). ISO 27000. Disponible: http://www.iso27000.es/download/doc_iso27000_all.pdf. [Consulta: 02 de noviembre de 2007].
