UNIVERSIDAD YACAMBÚ

ESPECIALIZACIÓN EN GERENCIA. MENCIÓN REDES Y TELECOMUNICACIONES

CÁTEDRA: SISTEMAS DE INFORMACIÓN GERENCIAL

TRABAJO 1I: SEGURIDAD EN LOS SISTEMAS DE

INFORMACIÓN DESARROLLADOS VÍA WEB

ING. GILBERT PRADO D.

ING. AYOMARGRIS BRITO C.

 

 

 

 

 

 

 

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

DESARROLLADOS VÍA WEB

 

 

 

 

 

 

 

 

CONTENIDO

  Introducción

  Implementación de la Seguridad en Redes

  Estrategias de Seguridad de Red

  Seguridad y Administración

  Actividades de Auditoría

  Caso Práctico donde se explica aplicación de Seguridad en SIG

  Conclusiones

  Infografía

 

 

 

 

 

 

 

 

INTRODUCCIÓN

 

 

 

Actualmente existe una fuerte demanda de aplicaciones de computación en la Web, que aumenta cada día junto con su complejidad. La adopción de tecnologías muy nuevas, y la gran demanda por éstas, contribuyen a la conocida "crisis de software", pero en este caso en la Web. A esta crisis que no se da solución con las herramientas y metodologías existentes, pretende aliviarse con un ambiente integrado que satisfaga las distintas etapas y enfoques de los desarrollos Web de manera de cumplir con la promesa de la Web, de ser una "amplia tela mundial".

Crear una empresa virtual no es nada distinto de crear una empresa real. Son lo mismo, pero para crear y desarrollar con éxito una empresa "en Internet" hay que conocer las características de esta tecnología y su aplicación a cualquier campo de comercio.

Aunque en este caso se está orientado a los sistemas de información gerenciales, tampoco estaría de más conocer las características propias del mercado al cual se pretende  acceder, aquel que se explota utilizando precisamente estas nuevas herramientas brindadas por Internet. Después de todo, el que la empresa virtual tenga éxito tendrá cada vez menos de virtual y como tal debe manejarse de manera correcta siguiendo los lineamientos de desarrollo entre otros aspectos.

Inicialmente casi toda la empresa "podrá estar" en Internet, pero a medida que prospere la "parte real", por pequeña que sea, terminará por hacerse enorme mientras la parte "virtual" seguirá manteniendo un tamaño relativamente estable.

Por todo esto se torna papel primordial la seguridad que se les establezca a los sistemas de información desarrollados bajo la Web, para garantizar la integridad y calidad de los datos así como gestiones que mediante estos sitios se puedan realizar, brindando el mejor servicio a los clientes que acceden a estas Web y protegiendo la integridad con una plataforma segura; a continuación se presentarán las formas de implementación de la seguridad, las mejores estrategias a implementar, la administración que se le debe brindar para garantizar dicha seguridad, formas de realizar auditorías a estos sitios y finalmente un caso práctico donde se muestra la implementación de todo el tema de seguridad con un caso real.

 

 

 

 

IMPLEMENTACIÓN DE LA SEGURIDAD EN REDES

 

DESARROLLAR UN PLAN DE SEGURIDAD DE REDES

La seguridad distribuida implica la coordinación de muchas funciones de seguridad en una red de equipos para implementar una política global. La seguridad distribuida permite a los usuarios iniciar la sesión en los sistemas apropiados, encontrar la información que necesitan y utilizarla. Cualquier usuario puede leer una gran parte de la información de las redes de equipos, pero sólo un pequeño grupo de ellos tiene permiso para actualizarla. Si la información es importante o privada, sólo los individuos o grupos autorizados tienen permiso para leer los archivos. También hay que preocuparse por la protección y la privacidad de la información que se transfiere a través de redes telefónicas públicas, de Internet e, incluso, de los segmentos de las redes internas de la organización.

 

Aunque las tecnologías de seguridad son de las más avanzadas, la propia seguridad las combina con buenas prácticas comerciales y sociales. Independientemente de lo avanzada e implementada que esté esta tecnología, su nivel de calidad depende de los métodos que se utilicen al utilizarla y gestionarla.

 

RIESGOS PARA LA SEGURIDAD

Es conveniente revisar los tipos de problemas en la seguridad de redes con los que pueden encontrarse los administradores de tecnologías de la información. La tabla 1 describe varios tipos de riesgos para la seguridad y proporciona una base común para la siguiente explicación de las características, estrategias y tecnologías de seguridad. La creación de una lista similar a ésta demuestra la complejidad de los problemas de seguridad con los que se enfrenta y ayuda a establecer un conjunto de etiquetas estándar de cada categoría de riesgo.

 

Tabla 1.  Tipos de riesgos para la seguridad de una organización

 

CONCEPTOS BÁSICOS DE SEGURIDAD

·         Modelo de seguridad

La seguridad se basa en un sencillo modelo de autenticación y autorización que utiliza el servicio de directorios. La autenticación identifica al usuario cuando éste inicia una sesión y cuando realiza conexiones de red con los servicios. Una vez identificado, se autoriza al usuario a tener acceso a un conjunto determinado de recursos de la red en función de los permisos. La autorización tiene lugar a través del mecanismo de control de acceso, utilizando listas de control de acceso que definen los permisos en los sistemas de archivos, recursos compartidos de impresoras y archivos de la red.

·         Modelo de dominio

Un dominio es un conjunto de objetos de red, como las cuentas de usuario, los grupos y los equipos, que comparten una base de datos de directorios común con respecto a la seguridad. Un dominio identifica a las autoridades de seguridad y forma un límite de seguridad con políticas internas coherentes y relaciones de seguridad explícitas con otros dominios.

·         Administración de la confianza

Una confianza es una relación lógica que se establece entre dominios para permitir una autenticación de paso en la que un dominio que confía respeta la autenticación de inicio de sesión de un dominio en el que se confía. El término confianza transitiva hace referencia a la autenticación a través de una cadena de relaciones de confianza. Las relaciones de confianza admiten la autenticación a través de dominios con varios protocolos para que sea compatible con versiones anteriores.

·         Política de seguridad

La configuración de las políticas de seguridad define el comportamiento de la seguridad del sistema. A través del uso de los objetos de política de grupo, los administradores pueden aplicar centralmente perfiles de seguridad explícitos a distintos tipos de equipos de la empresa.

·         Configuración y análisis de seguridad

Es una característica que ofrece la capacidad para comparar la configuración de seguridad de un equipo con una plantilla estándar, ver los resultados y resolver cualquier discrepancia que revele el análisis. También se puede importar una plantilla de seguridad en un objeto de política de grupo y aplicar dicho perfil de seguridad a muchos equipos simultáneamente.

·         Encriptado simétrico de claves

También recibe el nombre de encriptado de claves secretas. El encriptado simétrico de claves utiliza la misma clave tanto para cifrar como para descifrar los datos. Proporciona un rápido procesamiento de datos y se utiliza en muchos tipos de encriptado de datos en redes y sistemas de archivos.

·         Encriptado de claves públicas

El encriptado de claves públicas tiene dos claves, una pública y otra privada. Cualquiera de ellas puede cifrar datos que sólo puede descifrar la otra clave. Esta tecnología abre un gran número de estrategias de seguridad y es la base para varias características de seguridad de los sistemas operativos. Estas características dependen de la infraestructura de una clave pública.

·         Autenticación

La autenticación confirma la identidad de cualquier usuario que intente iniciar la sesión en un dominio o tener acceso a los recursos de la red. La autenticación habilita el inicio de sesión único en todos los recursos de la red. Con el inicio de sesión único, los usuarios pueden iniciar la sesión en el equipo cliente una vez (para lo que utilizan una sola clave de acceso o tarjeta inteligente), y autenticarse en cualquier equipo del dominio.

·         Inicio de sesión único

A los usuarios no les gusta autenticarse por separado en varios servidores y aplicaciones de red. Se puede dar el caso de que un usuario tuviera que escribir distintas claves de acceso para iniciar una sesión en el equipo local, para tener acceso a un servidor de archivos o de impresión, para enviar un mensaje de correo electrónico, para utilizar una base de datos, etc. Los distintos servidores pueden exigir un cambio de clave de acceso a diferentes intervalos y, a menudo, no permitir utilizar la anterior, por lo que los usuarios típicos tendrían que recordar media docena de claves de acceso. Para el usuario no sólo es tediosa la autenticación, sino que en algún momento, éste tiene que empezar a crear una lista de las claves de acceso actuales. De esta forma, una red de varias autenticaciones puede llegar a ser vulnerable a la interceptación de identidades.

La estrategia de inicio de sesión único hace que los usuarios se autentiquen de forma interactiva una vez y, a continuación, permite el inicio de sesión autenticado a otras aplicaciones y dispositivos de la red. Estos posteriores eventos de autenticación son transparentes para el usuario.

·         Control de acceso

El control de acceso es el modelo de implementación de autorizaciones. Una vez que un usuario se ha autenticado en un dominio e intenta tener acceso a un recurso, como un archivo de red, el tipo de operación que se le permite queda determinado por los permisos que están vinculados al recurso, como sólo lectura o lectura y escritura. El control de acceso se implementa mediante el uso de listas de control de acceso específicas de los objetos. Dichas listas se pueden ver en la ficha Seguridad de la hoja de propiedades de los archivos o de las carpetas. La lista contiene los nombres de los grupos de usuarios que tienen acceso al objeto.

·         Integridad de los datos

Garantizar la seguridad de los datos significa protegerlos contra la modificación malintencionada o accidental. En el caso de datos almacenados, significa que sólo los usuarios autorizados pueden modificarlos, sobrescribirlos o eliminarlos. En una red, esto significa que los paquetes de datos deben contener una firma digital para que el equipo destinatario pueda detectar las irregularidades.

·         Confidencialidad de los datos

Una estrategia de confidencialidad de datos significa cifrar los datos antes de que pasen a través de la red y descifrarlos posteriormente. Esta estrategia impide que alguien que esté realizando escuchas en la red (interceptación de datos) pueda leer los datos. Los paquetes de datos no encriptados que se transmiten por una red pueden verse fácilmente desde cualquier equipo de la red, siempre que éste disponga de un programa de rastreo de paquetes obtenido desde la Internet.

·         Autenticación de código

Esta estrategia requiere que se firme el código obtenido por desde la Internet con la firma digital de un editor de software de confianza. Puede configurar exploradores Web para evitar ejecutar código no firmado. Tenga en cuenta que la firma de software demuestra que el código es auténtico, lo que significa que no se ha alterado después de la publicación. No garantiza que el código es lo suficientemente seguro como para ejecutarlo. Hay que decidir en qué editores de software se confía (la firma digital en el archivo ejecutable es otro ejemplo de infraestructura de claves públicas).

·         Registros de auditoría

Auditar la administración de cuentas de usuarios así como el acceso a recursos de red es una importante política de seguridad. Las auditorías dejan un rastro de las operaciones en la red que muestran lo que se ha intentado y quién lo ha hecho. Esto no sólo ayudar a detectar intrusiones, sino que los registros se convierten en una evidencia legal si se captura y se juzga al intruso. Finalizar, buscar y eliminar o modificar los registros de auditoría supone una tarea adicional que requiere tiempo al intruso sofisticado, lo que facilita su detección e intervención.

 

ESTRATEGIAS DE SEGURIDAD DISTRIBUIDA

La seguridad distribuida hace referencia a las características de la seguridad lógica que funcionan principalmente en la red de la empresa. Hay siete estrategias de seguridad principales que hay que perseguir para que los recursos de la red sean seguros.

·         Autenticar el acceso de todos los usuarios a los recursos del sistema.

·         Aplicar un control de acceso apropiado a todos los recursos.

·         Establecer relaciones de confianza apropiadas entre varios dominios.

·         Habilitar la protección de datos para los datos importantes.

·         Establecer políticas de seguridad uniformes.

·         Distribuir aplicaciones seguras.

·         Gestionar la administración de seguridad.

ü  Autenticar el acceso de todos los usuarios

Para ofrecer seguridad a la red, hay que proporcionar acceso a los usuarios legítimos pero dejar fuera a los intrusos que intentan entrar, lo que significa que hay que configurar las características de seguridad para autenticar el acceso de todos los usuarios a los recursos del sistema. Las estrategias de autenticación establecen el nivel de protección contra los intrusos que intentan robar identidades o hacerse pasar por usuarios.

Cuando un usuario nuevo se incorpora a la organización, el administrador crea para él una sola cuenta en lugar de tener que crear media docena o más de cuentas independientes en distintos servidores y bases de datos de aplicaciones. Con el servicio de autenticación de dominios integrado con el directorio de la empresa, esta única cuenta de usuario es también una entrada de directorio de la información de la libreta de direcciones global y, además, proporciona acceso a todos los servicios de la red. El usuario puede iniciar la sesión en distintos equipos cliente o portátiles del dominio con una sola clave de acceso.

La autenticación no se limita a los usuarios. Los equipos y los servicios también se autentican cuando establecen conexiones de red con otros servidores. Por ejemplo, los servidores y los equipos cliente se conectan con su dominio para obtener la información de las políticas durante el inicio. Se autentican y hacen download de la política de los equipos antes de que cualquier usuario pueda iniciar una sesión en dicho equipo. Los equipos y los servicios también prueban su identidad a los clientes que solicitan la autenticación mutua. La autenticación mutua impide que los intrusos agreguen otro equipo como impostor entre el cliente y el servidor real de la red.

·         Consideraciones de diseño

La forma más sencilla de defenderse contra la fuerza bruta o contra las herramientas para averiguar claves de acceso mediante diccionarios es establecer y hacer cumplir claves de acceso largas y complejas. Los sistemas deben ser versátiles para permitir establecer políticas para gobernar la complejidad, longitud, duración y reutilización de las claves de acceso de los usuarios. Las claves de acceso complejas tienen diez o más caracteres, que incluyen mayúsculas y minúsculas, puntuación y números.

Las tarjetas inteligentes proporcionan una mejor autenticación que las claves de acceso, pero también implican un mayor tiempo. Las tarjetas inteligentes requieren la configuración de servicios, de los dispositivos lectores de tarjetas inteligentes y de las propias tarjetas.

·         Inicio de sesión con tarjeta inteligente

Los sistemas operativos admiten la autenticación opcional mediante tarjetas inteligentes. Las tarjetas inteligentes proporcionan una forma muy segura de autenticación de los usuarios, de inicios de sesión interactivos, de firma de código y de correo electrónico seguro. Sin embargo, la distribución y mantenimiento de un programa de tarjetas inteligentes requiere más recursos y costes.

El plan de distribución de la seguridad en la red necesita describir los métodos de inicio de sesión en la red y de autenticación que se utilizan. La siguiente información debe incluirse en el plan de seguridad:

§  Identificar las estrategias de inicio de sesión en la red y de autenticación que desea distribuir.

§  Describir las consideraciones y los problemas de la distribución de tarjetas inteligentes.

§  Describir los servicios de certificados necesarios para poder utilizar tarjetas inteligentes.

·         Acceso remoto

Enrutamiento y acceso remoto es el servicio que permite a los usuarios remotos conectarse a una red local por medio del teléfono. Esta sección sólo explica las características de seguridad del acceso remoto de enrutamiento y acceso remoto. El acceso remoto, por su propia naturaleza, es una invitación a los intrusos; por lo que se debe contar  con varias características de seguridad que permitan el acceso autorizado al mismo tiempo que limitan las oportunidades de causar daños.

·         Políticas de acceso remoto

La mayoría de los servidores están gobernados por políticas de seguridad que determinan el comportamiento de sus accesos remotos. Estas políticas establecen si un servidor acepta solicitudes de acceso remoto y, si lo hace, las horas y los días en que lo hace, los protocolos que utiliza y los tipos de autenticación que se necesitan.

·         Consideraciones acerca del acceso remoto

No resulta eficaz otorgar permiso de acceso remoto a un usuario si no hay una política apropiada de accesos remotos en el lugar del servidor de acceso remoto.

A continuación algunas opciones de autenticación para el acceso remoto:

§  Métodos estándar del desafío del Protocolo punto a punto (PPP) y de autenticación de respuestas que utilizan el nombre y las claves de acceso de los usuarios.
Los métodos de autenticación estándar de PPP ofrecen una seguridad limitada.

§  Métodos de autenticación personalizada del Protocolo de autenticación extensible (EAP).

Otras empresas pueden desarrollar o proporcionar módulos de EAP para ampliar las capacidades de autenticación de PPP. Por ejemplo, EAP puede utilizarse para proporcionar una autenticación más severa a través de tarjetas testigo, tarjetas inteligentes, hardware biométrico o sistemas de claves de acceso que se escriben una sola vez.

§  Autenticación EAP Seguridad de nivel de transporte (EAP-TLS) que utiliza certificados digitales y tarjetas inteligentes.

§  EAP-TLS proporciona autenticación severa. Las credenciales de los usuarios se almacenan en tarjetas inteligentes que no se pueden modificar. Puede entregar una tarjeta inteligente a cada usuario para todos sus inicios de sesión.

 

Es recomendable que el plan de seguridad de la red incluya estrategias para el acceso remoto y la autenticación que tomen en consideración la siguiente información:

§  Las estrategias de autenticación de inicio de sesión que se van a utilizar.

§  Las estrategias de acceso remoto mediante enrutamiento y acceso remoto, y redes privadas virtuales.

§  Los servicios de certificados necesarios para admitir la autenticación de inicio de sesión de los usuarios mediante certificados digitales.

§  Los procesos y estrategias para inscribir a los usuarios para los certificados de autenticación de inicio de sesión y para el acceso remoto.

§  Si se va a utilizar o no la devolución de llamadas con el acceso remoto para ayudar a eliminar los ataques de suplantación de identidad.

ü  Aplicar el control de acceso

Una vez que un usuario inicia la sesión, se autoriza a éste a que tenga acceso a varios recursos de red, como servidores de archivos e impresoras que otorgan permisos a los usuarios autenticados. Se debe asegurar de restringir la vista que el usuario tiene de los recursos de la red a los dispositivos, servicios y directorios que estén relacionados con su trabajo. Con ello se limita el daño que puede hacer un intruso si se hace pasar por un usuario legítimo.

El acceso a los recursos de la red se basa en los permisos. Los permisos identifican a los usuarios y grupos que pueden realizar determinadas acciones con determinados recursos. Por ejemplo, el grupo de contabilidad tiene permiso de lectura y escritura para tener acceso a los archivos de la carpeta de informes de contabilidad. El grupo de auditoría tiene acceso de sólo lectura a los archivos de la carpeta de informes de contabilidad.

Los permisos se habilitan mediante el uso de la lista de control de acceso (ACL) asociada con cada recurso.  Una ACL es una lista de los grupos de seguridad (y raras veces de los individuos) que tienen acceso a dicho recurso.

Los grupos de seguridad son la forma más eficaz de administrar los permisos. Es posible asignar permisos a individuos; pero en la mayoría de los casos, es más sencillo otorgarlos a un grupo y después agregar o quitar a los usuarios como miembros del grupo.

 

ü  Habilitar la protección de datos

Las estrategias de seguridad en la información protegen los datos de los equipos servidores y clientes, y ocultan y protegen los paquetes que atraviesan redes no seguras. Cualquier plan de seguridad distribuida tiene que identificar la información que hay que proteger en el caso de que el equipo se pierda o lo roben. Además, hay que incluir en el plan los tipos de tráfico de red que son importantes o privados y que hay que proteger de los detectores de red.

Para mantener la confidencialidad de los paquetes de datos de la red se puede utilizar seguridad del Protocolo Internet (IPSec) para cifrar el tráfico de red entre algunos o todos los servidores. IPSec permite configurar conexiones de red autenticadas y encriptadas entre dos equipos. Por ejemplo, se podría configurar un servidor de correo electrónico para que solicitara la comunicación segura con los clientes y de ese modo impedir que un rastreador de paquetes lea los mensajes de correo electrónico entre los clientes y el servidor. IPSec es idóneo para proteger datos de las aplicaciones existentes que no se diseñaron pensando en la seguridad.

Las conexiones de red y las de acceso telefónico (acceso remoto) siempre protegen los datos de red transmitidos a través de Internet o de líneas telefónicas públicas. El acceso remoto utiliza una red privada virtual que usa el protocolo de túnel PPTP o LT2P a través de IPSec.

·         Sistema de encriptado de archivos

El Sistema de encriptado de archivos (EFS) permite a los usuarios cifrar los archivos o las carpetas que designen en un equipo local para proporcionar una mayor protección de los datos que se almacenan localmente. EFS descifra automáticamente el archivo cuando se va a utilizar y lo vuelve a cifrar al guardarlo. Nadie puede leer estos archivos excepto el usuario que cifró el archivo y un administrador con un certificado de recuperación EFS. Dado que el mecanismo de encriptado está integrado en el sistema de archivos, su funcionamiento es transparente para el usuario y extremadamente difícil de atacar.

EFS es especialmente útil para proteger los datos de un equipo que se pueda sustraer físicamente, como una portátil. EFS se puede configurar en equipos portátiles para asegurarse de que toda la información de la empresa que hay en las carpetas de documentos de los usuarios está encriptada. El encriptado protege la información aun cuando alguien pase por alto EFS y utilice utilidades de disco de bajo nivel para intentar leerla.

EFS está pensado principalmente para la protección de los archivos de los usuarios en el disco del sistema de archivos NTFS local. A medida que se aleja de este modelo (unidades remotas, varios usuarios, edición de archivos encriptados) hay numerosas excepciones y condiciones especiales que deben tenerse en cuenta.

En el plan de distribución de seguridad de la red hay que incluir estrategias para EFS y la recuperación EFS. Las estrategias de EFS pueden incluir la siguiente información:

§  Las estrategias de los sistemas de archivos para portátiles y otros equipos.

§  Los agentes de recuperación EFS.

§  El proceso de recuperación EFS recomendado.

§  El proceso de administración y archivo de la clave privada del agente de recuperación EFS recomendado.

§  Los servicios de certificación necesarios para admitir los certificados de recuperación EFS.

·         Seguridad IP

El Protocolo de Internet (IPSec) para la protección de datos del tráfico de red es un conjunto de protocolos que permiten la comunicación segura y encriptada entre dos equipos a través de una red no segura. El encriptado se aplica al nivel de red IP, lo que significa que es transparente para la mayoría de las aplicaciones que utilizan determinados protocolos para la comunicación en red. IPSec ofrece seguridad de extremo a extremo, lo que significa que los paquetes de IP los cifra el equipo remitente, que no se pueden leer en ruta y que sólo puede descifrarlos el equipo destinatario. Gracias a un algoritmo especial para generar la misma clave de encriptado compartida en ambos extremos de la conexión, no es necesario que la clave pase por la red.

Es posible definir las políticas de la seguridad del Protocolo Internet (IPSec) de cada dominio o unidad organizativa. También se puede definir la política de IPSec local en aquellos equipos a los que no se ha asignado ninguna política IPSec en el dominio. Las políticas IPSec pueden configurarse para:

§  Especificar los niveles de autenticación y confidencialidad requeridos entre los clientes IPSec.

§  Especificar el nivel de seguridad más bajo en el que pueden producirse comunicaciones entre los clientes IPSec.

§  Permitir o impedir las comunicaciones con clientes que no sean IPSec.

§  Requerir que todas las comunicaciones estén encriptadas para que haya confidencialidad o puedan permitirse las comunicaciones en texto sin formato.

Tomar en consideración el uso de IPSec para proporcionar seguridad a las siguientes aplicaciones:

§  Comunicaciones entre entidades del mismo nivel a través de la intranet de la organización, como las comunicaciones del departamento jurídico o del comité ejecutivo.

§  Comunicaciones cliente-servidor para proteger la información confidencial almacenada en los servidores. En los puntos de uso compartido de archivos que requieren controles de acceso de usuarios quizás sea conveniente utilizar IPSec para garantizar que otros usuarios de la red no puedan ver los datos cuando se están comunicando.

§  Comunicaciones mediante acceso remoto (acceso telefónico o red privada virtual).

§  Asegurar las comunicaciones WAN de enrutador a enrutador.

 

ü  Establecer políticas de seguridad

Las políticas de seguridad que toda organización debe establecer van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y el reconocimiento de las propias necesidades de seguridad para así establecer los niveles de protección de los recursos.

Dichas políticas deberán basarse en lo siguiente:

·         Identificación y selección de lo que se debe proteger (información sensible).

·         Establecimiento de niveles de prioridad e importancia sobre esta información.

·         Determinación de las consecuencias que traería a la organización, en lo que se refiere a costos y productividad, la pérdida de esta información.

·         Identificación de las amenazas y de los niveles de vulnerabilidad de la red.

·         Realización de un análisis de costos de la recuperación de la información en caso de sufrir un ataque y perderla.

·         Implementación de respuestas rápidas a incidentes y recuperación para disminuir el impacto de la pérdida.

¿Cómo implementar una política de seguridad?

Resumiendo lo presentado anteriormente, se puede decir que para implementar una política de seguridad, se debe:

·         Diagnosticar los riesgos: identificar la totalidad de lo que puede verse afectado en la organización por las amenazas existentes, y la probabilidad y el efecto de eventuales daños.

·         Determinar la estrategia: análisis de costo/beneficio para elegir las soluciones de control que permitan reducir el riesgo a un nivel aceptable.

·         Implementar controles: se organiza la defensa en profundidad mediante un esquema de protección por niveles que abarca el control de acceso físico, el perímetro, el servidor, la red interna, las aplicaciones y los datos. Este esquema aumenta la capacidad de detección de amenazas reduciendo la probabilidad de daños.

·         Medir la efectividad: se implementa un sistema de control para medir los resultados obtenidos en los diferentes ambientes de seguridad: servidores y clientes administrados, y dispositivos no administrados (externos). 

 

Este tipo de políticas permitirán desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente se habrán identificado y definido los sistemas y datos a proteger.

Las políticas de seguridad uniformes permiten aplicar y hacer cumplir una configuración de seguridad coherente en las clases de equipos de la organización, como la clase de controladores de dominio. Para ello no hay más que crear una unidad organizativa, recopilar los objetos de cuentas de equipos apropiados en la unidad organizativa y a continuación aplicar un objeto de política de grupo a la unidad organizativa. Las políticas de seguridad especificadas en la política de grupo se aplican automáticamente y de forma coherente en todos los equipos representados por las cuentas de los equipos de la unidad organizativa.

·         Política de grupo

Un objeto de política de grupo contiene un perfil amplio de los permisos de seguridad que se aplican principalmente a la configuración de seguridad de un dominio o de un equipo (en lugar de a los usuarios). Es posible aplicar un solo objeto de política de grupo a todos los equipos de una unidad organizativa. La política de grupo se aplica cuando se inicia el equipo individual y se actualiza periódicamente si los cambios se realizan sin reiniciarlo.

El plan de distribución de seguridad de red necesita describir las opciones de seguridad importantes de la categoría y sub-categoría de cada política. La información siguiente puede incluirse en el plan de seguridad:

§  Identificar la configuración de política de seguridad que desea cambiar de la configuración predeterminada.

§  Describir todos los asuntos relacionados con el cambio de configuración de la política de grupo.

§  Describir los requisitos de seguridad especiales y el modo en que se puede configurar la política de grupo para satisfacer los requisitos especiales.

·         Políticas de cuenta

Las políticas de cuenta son la primera sub-categoría de Configuración de seguridad. Las políticas de cuenta incluyen:

§  Política de claves de acceso: es posible modificar la política de claves de acceso para satisfacer las necesidades de seguridad de cualquier organización. Por ejemplo, se puede especificar la longitud mínima de las claves de acceso y su duración máxima. También se pueden solicitar claves de acceso complejas e impedir que los usuarios vuelvan a utilizar las claves de acceso o simples variaciones de ellas.

§  Política de bloqueo de cuentas: es posible bloquear a los usuarios tras un número determinado de intentos de inicio de sesión fallidos. También se puede especificar el período de tiempo durante el que dichas cuentas están congeladas.

Las políticas que se eligen afectan al nivel de ayuda técnica que necesitan los usuarios y a la vulnerabilidad de la red frente a ataques a su seguridad. Por ejemplo, la especificación de una política restrictiva de bloqueo de cuentas aumenta la posibilidad de ataques de denegación de servicio, mientras que la definición de una política de claves de acceso restrictiva da como resultado un mayor número de llamadas al servicio de ayuda por parte de los usuarios que no pueden iniciar la sesión en la red.

Además, la especificación de una política de claves de acceso restrictiva puede reducir realmente la seguridad de la red. Por ejemplo, si se exigen claves de acceso con más de siete caracteres, la mayoría de los usuarios tendrán dificultad para recordarlas. Cabe la posibilidad de que las anoten y las dejen en algún lugar en el que un intruso pueda encontrarlas fácilmente.

·         Políticas de registro de eventos

Estas políticas se pueden utilizar para controlar la configuración de los registros de las aplicaciones, del sistema y de los eventos de seguridad de los equipos locales. Por ejemplo, se pueden especificar los tamaños máximos de los registros, el tiempo durante el que se mantienen los eventos registrados y los métodos de conservación de registros.

·         Políticas de grupos restringidos

Las políticas de grupos restringidos pueden definirse para administrar y exigir la pertenencia a grupos de aquellos integrados o definidos por el usuario que tienen derechos y permisos especiales. Las políticas de grupos restringidos contienen una lista de miembros de determinados grupos definidos como parte de la política de seguridad. La exigencia de los grupos restringidos establece automáticamente que todos los miembros de los grupos de equipos locales coincidan con la configuración de la lista de miembros definida en la política.

Los grupos restringidos pueden utilizarse para administrar los miembros de los grupos integrados. Los grupos integrados incluyen tanto los grupos locales de administradores, usuarios avanzados, operadores de impresión y operadores de servidor, como grupos globales de administradores de dominios. A la lista de grupos restringidos pueden agregarse aquellos grupos que se consideren confidenciales o privilegiados, junto con la información de sus miembros. Esto permite exigir la pertenencia a grupos de estos grupos por política y no permitir variaciones locales en cada equipo.

·         Políticas de servicios de sistemas

Los servicios de sistemas ofrecen un mecanismo que potencialmente pueden explotar los intrusos, quienes pueden hacerse con el control del servicio o utilizarlo como punto de entrada para obtener acceso a los equipos y a los recursos de red. Por ejemplo, un intruso puede intentar utilizar los puntos débiles de un servidor Web que se esté ejecutando con el fin de obtener acceso al sistema operativo o a los archivos de un equipo. 

·         Políticas de registro

Las políticas de registro se utilizan para configurar la seguridad y controlar las auditorías de seguridad de las claves de registro y de sus sub-claves. Por ejemplo, para asegurase de que solamente los administradores pueden cambiar determinada información del registro, se pueden utilizar las políticas de registro para otorgar a los administradores un control total sobre las claves de registro y sus sub-claves, y para otorgar permiso de sólo lectura al resto de los usuarios. Las políticas de registro también pueden utilizarse para impedir que determinados usuarios vean partes del registro.

·         Políticas del sistema de archivos

Las políticas del sistema de archivos se pueden utilizar para configurar la seguridad de los archivos y de las carpetas, y para controlar las auditorías de seguridad de los archivos y carpetas. Por ejemplo, para asegurarse de que solamente los administradores pueden modificar los archivos y las carpetas, se pueden utilizar estas políticas para otorgar a los administradores un control total sobre los archivos y las carpetas del sistema, y para otorgar permiso de sólo lectura al resto de los usuarios. Las políticas del sistema de archivos también pueden utilizarse para impedir que determinados usuarios vean archivos y carpetas.

·         Políticas de clave pública

Esta subdivisión de la configuración de seguridad permite agregar un nuevo agente de recuperación de datos encriptados y configurar las peticiones de certificados automáticas. También permite administrar las listas de entidades emisoras de certificados de confianza.

 

ü  Correo electrónico seguro

En las empresas actuales, los mensajes de correo electrónico que contienen información personal confidencial e información comercial patentada se envían de forma rutinaria a través de las partes no seguras de la intranet o incluso de Internet. Los agentes de espionaje o los piratas informáticos pueden interceptar fácilmente los mensajes de correo electrónico de texto sin formato. Además, cualquier persona con intenciones maliciosas puede interceptar y modificar fácilmente los mensajes de correo electrónico en ruta o falsificar la dirección IP de un remitente de correo electrónico y enviar mensajes falsos.

Muchas de las actuales soluciones seguras de correo electrónico, como Microsoft Exchange Server, utilizan el estándar abierto Extensiones Seguras Multipropósito de Correo Internet (S/MIME). La utilización de estándares abiertos es importante si se desea proporcionar interoperabilidad entre las aplicaciones de correo electrónico seguras de terceros que utilizan los socios, distribuidores y clientes.

 

ü  Sitios Web seguros y comunicaciones

El sitio Web y el explorador Web se han convertido en los mecanismos centrales para el intercambio de información abierta y la colaboración en intranets organizativas, así como en Internet. Sin embargo, los protocolos Web estándar, como el protocolo de transferencia de hipertexto (HTTP), proporcionan una seguridad limitada. Se puede configurar la mayoría de los servidores Web para proporcionar seguridad a los directorios y archivos basándose en los nombres y las claves de acceso de los usuarios. También puede proporcionar seguridad Web mediante las soluciones de programación utilizando la Interfaz de puerta de enlace común (CGI) o páginas Active Server (ASP). Sin embargo, se está demostrando que estos métodos tradicionales para proporcionar seguridad Web son cada vez menos adecuados a medida que los ataques contra los servidores Web son más frecuentes y sofisticados.

Se pueden utilizar los Servicios de Internet Information Server (IIS), para proporcionar altos niveles de seguridad a los sitios Web y a las comunicaciones utilizando protocolos seguros de comunicaciones basados en los estándares y certificados X.509 estándar. Se puede proporcionar la siguiente seguridad a los sitios Web y a las comunicaciones:

·         Autenticar a los usuarios y establecer canales seguros para las comunicaciones confidenciales encriptadas, para lo que se utilizan los protocolos Nivel de Sockets Seguro (SSL) y Seguridad de Nivel de Transporte (TLS).

·         Autenticar a los usuarios y establecer canales seguros para las transacciones financieras confidenciales encriptadas, para los que se utiliza el protocolo Criptografía canalizada en el servidor (SGC).

·         Asignar certificados de usuario a las cuentas de red de los usuarios para autenticar a los usuarios y controlar los derechos y los permisos de los usuarios en los recursos Web basados en la posesión por parte de los usuarios de certificados válidos que ha emitido una entidad emisora de certificados de confianza.

 

 

ESTRATEGIAS DE SEGURIDAD DE RED

 

DISEÑAR LA SEGURIDAD DE LA RED

Una conexión a Internet permite al personal de una organización utilizar el correo electrónico para comunicarse con gente de todo el mundo y obtener información y archivos de un extenso número de orígenes. También posibilita que los clientes obtengan información y servicios de la organización en todo momento. Además, el personal puede utilizar recursos de la organización desde su domicilio, hoteles o desde cualquier lugar donde se encuentren, y los socios pueden usar herramientas especiales que les permiten trabajar de forma más efectiva con la organización.

 

Al diseñar una red, se deben implementar tecnologías de seguridad adecuadas para la organización. Solucionar en un primer momento estos asuntos en el diseño de la distribución garantiza que no se pueda infringir la seguridad y que se está preparado para proporcionar herramientas de red seguras siempre que sea necesario. Incluso aunque ya se cuente, probablemente, con un entorno de red seguro en la empresa, es importante revisar las estrategias de seguridad teniendo en mente las posibilidades del sistema operativo implementado.

 

·         Evaluar los riesgos de la seguridad de red

La posibilidad de compartir y obtener información conlleva algunos riesgos significativos. Los competidores podrían intentar hacerse con la información del producto antes de que salga al mercado o alguien podría modificar las páginas Web con malas intenciones o sobrecargar los equipos y dejarlos inservibles. También existe la posibilidad de que los empleados pudieran obtener acceso a información que no les concierne. Su deseo es evitar éstos y otros tipos de riesgos de seguridad para garantizar que el trabajo en la empresa se desarrolla como se pretende. Para asegurarse de que sólo las personas adecuadas tienen acceso a recursos y datos, es una buena idea estudiar cuidadosamente las tecnologías de seguridad de red y planear las estrategias correctamente. Esto también permite conocer la responsabilidad de acciones al realizar un seguimiento de la forma en que se utilizan los recursos. La figura 1 ilustra los pasos fundamentales para determinar las estrategias de seguridad en la red.

 

Figura 1. Procedimiento para determinar estrategias de seguridad de red

 

·   Determinar el tamaño y emplazamiento de los servidores

A la hora de establecer una conexión entre una red interna e Internet u otra red pública, considere cuidadosamente el lugar donde establecerá la conexión. Por lo general, se suele realizar en la parte central de la red de la organización, de modo que haya una distancia efectiva mínima entre los servidores e Internet. Habitualmente se hará también en una ubicación donde los especialistas en redes puedan tener acceso fácilmente para su mantenimiento.

Idealmente, se desea tener una sola conexión a Internet para toda la empresa. De esta forma se simplifica la administración de las conexiones y se reduce la vulnerabilidad potencial de la seguridad debido la aplicación anómala de políticas y procedimientos.

Una vez que haya decidido dónde colocar la conexión a Internet, se debe determinar qué hardware de servidor necesitará para respaldar las tecnologías de seguridad de red. Las características de estos servidores dependerán de las tecnologías que se piense implementar y de la carga de trabajo prevista pero, como mínimo, se necesita poder ejecutar algún servidor de sistema operativo de red. Aunque es posible ejecutar otro software para aplicaciones distintas de las de seguridad de red en los mismos servidores que las aplicaciones de seguridad de red, no es recomendable. Si se hace, la capacidad de los servidores para responder a las necesidades de la seguridad de red quedará mermada y los servidores pueden fallar. Asimismo, si la seguridad de las aplicaciones es débil, la seguridad en la red podría verse comprometida.

·   Formar al personal

Es necesario que las tecnologías de seguridad sean distribuidas y administradas por personas muy capaces y de confianza. Ellas deben integrar la red y la infraestructura de seguridad de red de modo que puedan eliminar o reducir al mínimo sus debilidades. Como a menudo el entorno y los requisitos están sujetos a cambios, deben mantener continuamente la integridad de la infraestructura de seguridad de red.

Un factor decisivo a la hora de garantizar el éxito del personal de seguridad de red es asegurarse de que ha recibido una buena formación y de que están al día en lo que se refiere a cambios tecnológicos. El personal necesita tiempo para aprender el sistema operativo y, en particular, sus tecnologías de seguridad de red. También deben tener la oportunidad de reforzar sus conocimientos con trabajo experimental y su aplicación práctica.

·   Desarrollar políticas y procedimientos de seguridad

Las políticas y procedimientos son siempre importantes pero además, en el caso de la seguridad, resultan decisivos. Es  necesario crear y publicar las políticas para conseguir consenso acerca de cómo tratar los problemas de seguridad específicos y asegurarse de que todo el mundo las comprenda claramente. Los procedimientos formalizados aseguran que el mantenimiento del sistema y los cambios se realicen siempre de forma bien planeada.

Un factor que se debe considerar es cómo controlar las infracciones o intentos de quebrar la seguridad. Es posible reducir el efecto de estas acciones si el personal adecuado tiene conocimiento de ellas lo más pronto posible. Esto sólo puede hacerse si hay procedimientos de control implantados en la organización. La definición de políticas adecuadas le ayudará a establecer procedimientos que le permitan enfrentarse a estos problemas de seguridad.

La confiabilidad es otro factor de seguridad importante que es necesario considerar. Se debe disponer de planes para cuando falle un componente de la infraestructura de seguridad. Decida de antemano la acción apropiada para cualquier posible infracción de la seguridad y tenga recursos disponibles para reparar el problema tan pronto como sea posible.

·   Crear un plan para distribuir las tecnologías de seguridad

Se debe crear un plan detallado para distribuir las tecnologías de seguridad de red como parte del plan de distribución general del sistema operativo mediante el uso de una metodología formal de proyecto. Esto asegurará que las tecnologías se distribuyan de forma sistemática, minuciosa, con una mínima oportunidad de que se produzcan errores. Entre los pasos más importantes del proyecto se incluye comunicar las políticas de seguridad de red a todas las partes interesadas y las políticas y procedimientos a los usuarios de la red.

El aspecto más importante del proyecto de distribución es la realización de una prueba piloto. Las tecnologías de seguridad de red propuestas deben ser sometidas a pruebas realistas y significativas en un entorno seguro. Esto ayudará a asegurar que la arquitectura funciona como se pretendía, que los objetivos de seguridad se han conseguido y que el personal está preparado para distribuir y mantener las tecnologías.

·         Identificar las categorías de usuario y sus necesidades y riesgos de seguridad

§  Todos
Esta categoría incluye todas las personas que tienen acceso a la red desde cualquier organización o lugar. Aquí podrían incluirse el personal, los usuarios y los socios. Por lo general, estas personas no se pueden identificar de forma confiable y se deben considerar, por lo tanto, anónimamente.

§  Personal
Esta categoría incluye todas las personas que trabajan para la organización. Se pueden identificar fácilmente por medio de procedimientos internos normalizados. Normalmente, utilizan el correo electrónico y la red interna de la organización.

§  Usuarios
Aquí se incluye el personal que utiliza aplicaciones para efectuar funciones comerciales.

§  Socios
Esta categoría incluye personas de cualquier organización o lugar que tienen una relación especial con la organización. Están preparados para seguir procedimientos normalizados, por lo que es posible identificarlos. Podrían hacer uso de utilidades de forma similar al personal y los usuarios. Con frecuencia, se consideran como parte de una extranet.

·         Desarrollar estrategias para proteger las conexiones de red

La seguridad de red se vuelve más importante cuando los equipos se conectan a una red en la que no se confía completamente. Los problemas de seguridad de red son comunes dentro de una organización, excepto en aquellos casos en que tenga mucho campo de acción para investigar la responsabilidad y aplicar una disciplina, y se cuente con una gama de tecnologías de seguridad de red básicas y distribuidas para solucionarlos. Más allá de su organización, las opciones para la investigación de responsabilidades y la aplicación de disciplina con frecuencia quedan en un segundo plano y, por lo tanto, es necesario confiar más en las estrategias de seguridad propiamente dichas.

·         Crear fronteras seguras

La seguridad de red entre una organización y el mundo exterior depende de uno o varios servidores en los que se implementan tecnologías de seguridad de red. Estos servidores se sitúan lógicamente en la frontera entre la organización y el mundo exterior. Con frecuencia, los servidores de aplicaciones que proporcionan servicios al mundo exterior se encuentran en la misma ubicación física.

Una forma de aumentar al máximo la seguridad de estos servidores es colocarlos lógicamente en una sola ubicación en la infraestructura de red. El área donde se colocan es conocida normalmente como zona “desmilitarizada”. El servidor de seguridad, tiene un adaptador de red adicional que dirige el tráfico a esta zona en función de un grupo de direcciones asignadas a esa área. La figura 2 muestra esta relación.

Dentro de la zona “desmilitarizada”, se puede asegurar que los servidores no tienen acceso a recursos de la empresa. De esta forma, si se infringe la seguridad en estos servidores, los infractores no pueden pasar a otros equipos dentro de la intranet.

 

Figura 2. Una zona “desmilitarizada”

 

La zona “desmilitarizada”, igual que ocurre con los componentes de red internos, tiene que estar protegida físicamente contra el acceso del público. De este modo se asegura que nadie, ni siquiera alguno de los empleados, pueda reorganizar el cableado o utilizar inicios de sesión en las cuentas para debilitar la seguridad.

No es necesario que independice físicamente la zona “desmilitarizada” de otros equipos y equipamiento de red. Sin embargo, resulta conveniente aplicarle políticas y procedimientos especiales, ya que su función es decisiva en la seguridad de red. Los más pequeños cambios efectuados de forma inadecuada pueden ser suficientes para crear una brecha en la seguridad de la que pueden beneficiarse los intrusos. Por lo tanto, es necesario que sea imposible para el personal no calificado cambiar la zona “desmilitarizada”. La aplicación de seguridad física adicional a la zona garantiza que esto se cumpla.

·         Proteger contra el grupo Todos

Para proteger la red de la organización del acceso a y desde Internet, es necesario colocar un servidor entre las dos. El servidor proporciona al personal de la empresa conectividad a Internet al tiempo que reduce el riesgo que ésta supone. Al mismo tiempo, impide el acceso a los equipos de la red desde Internet, a excepción de aquellos equipos autorizados a obtener tal acceso.

Este servidor ejecuta software de servidor de seguridad o de servidor proxy. También dispone de dos interfaces de red: una para la red corporativa y otra para Internet. El software del servidor de seguridad o del servidor proxy examina todos los paquetes de red de cada interfaz para determinar su dirección de destino. Cuando es conveniente, los paquetes se pasan a la otra interfaz para ser distribuidos al resto de la red respectiva si cumplen los criterios del software.

En algunos casos, el contenido de los paquetes se pasa como si proviniera del servidor proxy y los resultados se entregan al equipo solicitante cuando se devuelven al servidor proxy. Esto asegura que las personas conectadas a Internet no puedan obtener las direcciones de equipos dentro de la empresa distintos del servidor proxy.

 

 

 

SEGURIDAD Y ADMINISTRACIÓN

 

CERTIFICADOS

Un certificado de clave pública, al que se hace referencia normalmente como un certificado, es una declaración firmada digitalmente que enlaza el valor de una clave pública con la identidad de una persona, dispositivo o servicio que posee la clave privada correspondiente. La mayor parte de los certificados de uso común están basados en el estándar de certificados X.509v3. Los certificados se pueden emitir con varios fines, como la autenticación de usuarios en Web, la autenticación de servidores Web, correo electrónico seguro (Extensiones Seguras Multipropósito de Correo Internet (S/MIME)), Seguridad de Protocolo Internet (IPSec), Seguridad en el Nivel de Transporte (TLS) y firma de código. También se emiten certificados desde una entidad emisora de certificados (CA) a otra con el fin de establecer una jerarquía de certificación.

La entidad que recibe el certificado es el sujeto del certificado. El emisor y firmante del certificado es una entidad emisora de certificados.

Normalmente, los certificados contienen la información siguiente:

·         Valor de la clave pública del sujeto.

·         Información del identificador del sujeto, como el nombre y la dirección de correo electrónico.

·         Período de validez (el período durante el que el certificado se considera válido).

·         Información del identificador del emisor.

·         La firma digital del emisor, que da fe de la validez del enlace entre la clave pública del sujeto y la información del identificador de sujeto.

Un certificado es válido sólo para el período especificado en éste; cada certificado contiene las fechas Válido desde y Válido hasta, que marcan el límite del período de validez. Una vez que el período de validez del certificado ha transcurrido, el sujeto del certificado actual caducado debe solicitar un certificado nuevo.

En los casos en que sea necesario deshacer el enlace confirmado en un certificado, el emisor puede revocarlo. Cada emisor mantiene una lista de revocación de certificados que los programas pueden utilizar al comprobar la validez de un certificado determinado.

Una de las ventajas principales de los certificados es que los host ya no tienen que mantener ningún conjunto de contraseñas para sujetos individuales que necesiten como requisito previo autenticarse para tener acceso. Por el contrario, el host, simplemente, establece la confianza en un emisor de certificados.

Cuando un host, como un servidor Web seguro, designa a un emisor como entidad raíz de confianza, el host confía de forma implícita en las directivas que el emisor utiliza para establecer los enlaces de los certificados que emite. En efecto, el host confía en que el emisor ha comprobado la identidad del sujeto del certificado. Para designar a un emisor como entidad raíz de confianza, un host coloca el certificado firmado por el propio emisor, que contiene la clave pública del emisor, en el almacén de certificados de la entidad emisora de certificados raíz del equipo host. Se confía en las entidades emisoras de certificados subordinadas o intermedias sólo si disponen de una ruta de acceso de certificación de una entidad emisora de certificados raíz de confianza.

Usos de los certificados

Dado que los certificados se utilizan generalmente para establecer identidades y crear confianza para intercambios seguros de información, las entidades emisoras de certificados (CA) pueden emitir certificados para personas, dispositivos (como equipos) y servicios que se ejecutan en equipos (como IPSec).

En algunos casos, los equipos tienen que poder intercambiar información con un alto grado de confianza en la identidad del otro dispositivo, servicio o persona que participa en la transacción. Las aplicaciones y los servicios que se ejecutan en equipos también necesitan comprobar frecuentemente que tienen acceso a información de un origen de confianza.

En circunstancias en las que dos entidades (como dispositivos, personas o aplicaciones o servicios) intentan establecer identidad y confianza, el hecho de que ambas entidades confíen en la misma entidad emisora de certificados permite establecer el enlace de identidad y confianza entre ellas. Una vez que el sujeto de un certificado presenta un certificado emitido por una CA de confianza, la entidad que intenta establecer la confianza puede proseguir con el intercambio de información almacenando el certificado del sujeto en su propio almacén de certificados y, si procede, utilizar la clave pública contenida en éste para cifrar una clave de sesión de forma que todas las siguientes comunicaciones con el sujeto del certificado sean seguras.

Por ejemplo, cuando se utiliza Internet para llevar a cabo transacciones bancarias, es importante saber que el explorador Web se comunica de forma directa y segura con el servidor Web del banco. Su explorador Web tiene que poder conseguir la autenticación del servidor Web para efectuar transacciones seguras. Esto quiere decir que el servidor Web tiene que ser capaz de probar su identidad ante el explorador Web para que se pueda realizar la transacción. Microsoft Internet Explorer utiliza Secure Sockets Layer (SSL) para cifrar mensajes y transmitirlos de forma segura a través de Internet, como la mayor parte de los exploradores y servidores Web actuales.

Cuando se conecta mediante un explorador habilitado para SSL con un servidor Web de banca en línea que tiene un certificado de servidor de una entidad emisora de certificados como Verisign, se producen los siguientes sucesos:

§  Tiene acceso a la página Web de inicio de sesión protegida de su banco, utilizando su explorador Web. Si utiliza Internet Explorer, en la esquina inferior derecha de la barra de estado del explorador aparece un ícono de candado cerrado, para indicar que el explorador está conectado a un sitio Web seguro. Otros exploradores indican que las conexiones son seguras de otra forma.

§  El servidor Web del banco envía automáticamente un certificado de servidor a su explorador Web.

§  Para autenticar el servidor Web, su explorador Web comprueba el almacén de certificados de su equipo. Si la entidad emisora de certificados que emitió el certificado a su banco es de confianza, la transacción puede proseguir, y el certificado del banco queda almacenado en su almacén de certificados.

§  Para cifrar todas las comunicaciones con el servidor Web del banco, su explorador Web crea una clave de sesión exclusiva. Su explorador Web cifra la clave de sesión con el certificado del servidor Web del banco para que sólo el servidor Web del banco pueda leer los mensajes que envía desde su explorador. (Algunos de estos mensajes contendrán su nombre y contraseña de inicio de sesión, y más información sensible, de modo que este nivel de seguridad es necesario).

§  Se establece la sesión segura, y se puede enviar información sensible entre su explorador Web y el servidor Web del banco de forma segura.

Los certificados también se pueden utilizar para comprobar la autenticidad del software que se descarga desde Internet, se instala desde la intranet de la compañía o se adquiere en un CD-ROM y se instala en un equipo. El software sin firma (software que no tiene un certificado válido de publicador de software), puede suponer un riesgo para su equipo y la información que guarda en él.

Cuando el software está firmado con un certificado válido de una entidad emisora de certificados de confianza, sabe que el software no ha sido interceptado y se puede instalar en el equipo sin problemas. Durante la instalación del software, se le pide que acepte si confía en el fabricante del software (por ejemplo, Microsoft Corporation). También se le puede ofrecer la opción de confiar siempre en el software de dicho fabricante de software concreto. Si decide confiar en el contenido del fabricante, su certificado va a al almacén de certificados y otras instalaciones software de productos de dicho fabricante tienen lugar con confianza predefinida. En el caso de confianza predefinida, puede instalar el software del fabricante sin que se le pida si confía en él; el certificado almacenado en su equipo indica que confía en el fabricante del software.

De igual forma que con otros certificados, aquellos certificados utilizados para comprobar la autenticidad de software y la identidad de un fabricante de software pueden tener otros propósitos. Por ejemplo, cuando el complemento Certificados está establecido para ver los certificados por su propósito, la carpeta Firma del código podría contener un certificado emitido a Compatibilidad de hardware con Microsoft Windows por la Entidad emisora raíz de Microsoft. Dicho certificado tiene tres propósitos:

·         Asegura que el software viene del fabricante del mismo.

·         Protege el software para que no sea alterado después de su publicación.

·         Proporciona la comprobación del controlador de hardware de Windows.

Uso de certificados en organizaciones

Muchas organizaciones instalan sus propias entidades emisoras de certificados y emiten certificados a dispositivos internos, servicios y empleados, para crear un entorno informático más seguro. Las organizaciones grandes pueden tener varias entidades emisoras de certificados, configuradas en una jerarquía que conduce a una entidad emisora de certificados de raíz. De esta forma, un empleado de una organización puede tener una multitud de certificados en su almacén de certificados, que pueden estar emitidos por varias entidades emisoras de certificados internas, todas las cuales comparten una conexión de confianza a través de la ruta de acceso de certificación con la entidad emisora de certificados de raíz.

Cuando un empleado inicia una sesión en la red de la organización desde su casa mediante red privada virtual (VPN), el servidor VPN puede presentar un certificado de servidor para establecer su identidad. Dado que la entidad emisora de raíz corporativa es de confianza y la entidad emisora de certificados de raíz corporativa emitió el certificado del servidor VPN, el equipo cliente puede proseguir con la conexión y el empleado sabe que su equipo está realmente conectado al servidor VPN de su organización.

El servidor VPN también tiene que poder autenticar al cliente VPN antes de empezar a intercambiar datos sobre la conexión VPN. Se puede dar la autenticación en el nivel del equipo con el intercambio de certificados de equipo o la autenticación a nivel de usuario a través de un método de autenticación Protocolo Punto a Punto (PPP). En conexiones L2TP (Protocolo de túnel de nivel 2)/IPSec, se requieren certificados de equipos para el cliente y el servidor.

El certificado del equipo cliente puede servir para varios propósitos, la mayor parte de los cuales están basados en la autenticación, lo que permite que el cliente utilice muchos recursos organizativos sin la necesidad de certificados individuales para cada recurso. Por ejemplo, el certificado de cliente podría permitir conectividad VPN además de acceso al sitio intranet de la compañía, a servidores de productos y a la base de datos de recursos humanos en la que se almacenan los datos de los empleados.

El certificado del servidor VPN también podría servir para varios propósitos. El mismo certificado podría tener el propósito de comprobar la identidad de servidores de correo electrónico, servidores Web o servidores de aplicaciones.

Certificados emitidos a personas

Puede adquirir un certificado en una entidad emisora de certificados comercial, como Verisign, para enviar mensajes de correo electrónico personales cifrados, por seguridad, o firmados digitalmente, para probar la autenticidad.

Una vez que ha adquirido un certificado y lo utiliza para firmar digitalmente un mensaje de correo electrónico, el destinatario del mensaje puede comprobar que el mensaje no ha sido alterado durante su tránsito y que el mensaje proviene de usted; se da por supuesto que el destinatario del mensaje confía en la entidad emisora de certificados que emitió el mismo.

Cuando cifra un mensaje de correo electrónico, nadie puede leer el mensaje mientras está en tránsito, y sólo el destinatario del mensaje puede descifrar y leer el mensaje.

SISTEMA DE ARCHIVOS DE CIFRADO

El sistema de archivos de cifrado (EFS) proporciona la tecnología básica de cifrado de archivos utilizados para almacenar archivos en volúmenes con el sistema de archivos NTFS. Después de cifrar un archivo o una carpeta, puede trabajar con la carpeta o el archivo cifrado del mismo modo que con archivos o carpetas sin cifrar.

El usuario que cifró el archivo no tiene que preocuparse del proceso de cifrado. Es decir, no es necesario que descifre manualmente el archivo cifrado para poder utilizarlo; puede abrir y cambiar el archivo de la manera habitual.

Utilizar EFS es similar a utilizar permisos en archivos y carpetas. Ambos métodos se pueden utilizar para restringir el acceso a los datos. Sin embargo, impide que otro usuario que obtenga acceso físico no autorizado a sus carpetas o archivos cifrados pueda leerlos. Si éste intenta abrir o copiar la carpeta o el archivo cifrado, recibe un mensaje de acceso denegado. Los permisos en archivos y carpetas no los protegen contra ataques físicos no autorizados.

Para cifrar o descifrar una carpeta o un archivo, configure la propiedad de cifrado para carpetas y archivos de la misma forma que lo haría para otros atributos como de sólo lectura, comprimido u oculto. Si cifra una carpeta, se cifrarán automáticamente todos los archivos y subcarpetas creados en la carpeta cifrada. Se recomienda realizar el cifrado en las carpetas.

Cuando se trabaje con carpetas y archivos cifrados, se debe tener en cuenta la siguiente información:

§  Sólo se pueden cifrar archivos y carpetas en volúmenes NTFS.

§  Las carpetas o archivos comprimidos no se pueden cifrar. Si el usuario marca una carpeta o un archivo para su cifrado, se descomprimirá.

§  Los archivos cifrados se pueden descifrar si se copian o se mueven a un volumen que no sea NTFS.

§  Al mover archivos descifrados a una carpeta cifrada, éstos se cifrarán automáticamente en la nueva carpeta. Sin embargo, la operación inversa no descifra los archivos automáticamente. Los archivos deben descifrarse explícitamente.

§  Los archivos marcados con el atributo Sistema no se pueden cifrar, así como tampoco los archivos del directorio raíz del sistema.

§  El hecho de cifrar una carpeta o un archivo no impide su eliminación ni su enumeración. Cualquier usuario con los permisos adecuados puede eliminar o enumerar carpetas o archivos cifrados. Por este motivo, se recomienda utilizar EFS en combinación con NTFS.

§  Es posible cifrar o descifrar archivos y carpetas de un equipo remoto si éste permite el cifrado remoto. No obstante, si abre el archivo cifrado a través de la red, los datos que se transmiten durante este proceso no se cifran. Para cifrar los datos de transmisión deben utilizarse otros protocolos, como Secure Sockets Layer/Seguridad de Nivel de Transporte (SSL/TLS) o Seguridad de Protocolo Internet (IPSec). No obstante, WebDAV tiene capacidad para cifrar localmente el archivo y transmitirlo en forma cifrada.

 

Utilizar Administración de las directivas de seguridad de IP

Seguridad del protocolo Internet (IPSec) es una línea clave en la defensa frente a ataques internos, de redes privadas y externos. IPSec utiliza servicios de seguridad criptográficos para proporcionar integridad, autenticación y confidencialidad de los datos y protección de repetición del tráfico TCP/IP. IPSec se controla utilizando una directiva IPSec que se configura y asigna mediante el complemento Administración de las directivas de seguridad de IP.

 

Utilizar Configuración y análisis de seguridad

Configuración y análisis de seguridad revisa y analiza la configuración de seguridad del sistema y recomienda modificaciones a la configuración actual del sistema. Unos íconos o comentarios resaltan las áreas donde la configuración actual no coincide con el nivel propuesto de seguridad. Los administradores pueden utilizar Configuración y análisis de seguridad para ajustar la directiva de seguridad y detectar errores de seguridad que se produzcan en el sistema.

 

 

 

 

ACTIVIDADES DE AUDITORIA

 

Según Wikipedia, “una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores”.

 

La auditoría de seguridad de sistemas de información, es el examen o revisión de carácter objetivo, crítico, sistemático y selectivo de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional e imparcial en relación a:

·         Eficiencia en el uso de los recursos informáticos.

·         Validez de la información.

·         Efectividad de los controles establecidos.

 

Los servicios de auditoría pueden ser de distinta índole:

·         Auditoría de seguridad interna: se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno.

·         Auditoría de seguridad perimetral: el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores.

·         Test de intrusión: es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.

·         Análisis forense: es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados.

·         Auditoría de páginas web: entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código SQL, verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

·         Auditoría de código de aplicaciones: análisis del código tanto de aplicaciones Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

Requisitos que el auditor debe poseer a la hora de realizar una auditoría de seguridad informática:

·         Entendimiento global e integral del negocio, de sus puntos clave, áreas críticas, entorno económico, social y político.

·         Entendimiento del efecto de los sistemas en la organización.

·         Entendimiento de los objetivos de la auditoría.

·         Conocimiento de los recursos de computación de la empresa.

·         Conocimiento de los proyectos de sistemas.

Propiedades que los sistemas  informáticos deben tener para garantizar la seguridad de la información (las mismas podrán ser evaluadas durante una auditoría):

·         Confidencialidad: sólo pueden acceder a la información aquellos agentes que están autorizados para ello.

·         Integridad: la información no sufre alteraciones cuando se almacena, recupera o transmite.

·         Disponibilidad: la información puede ser utilizada siempre que se necesite.

 

GENERALIDADES SEGÚN LA CERTIFICACIÓN ISO 19011-2002

A continuación se proporciona orientación sobre la gestión y forma de llevar a cabo auditorías de sistemas de gestión de la calidad de la información.

La figura 3 proporciona una visión general de las actividades de auditoría:

 

 

 

 

Figura 3 Visión global de las actividades típicas de auditoría

 

 

 

INICIO DE LA AUDITORÍA

ü  Designación del auditor jefe del equipo

Los responsables de gestionar el programa de auditoría deberían designar un auditor jefe del equipo para cada auditoría específica.

Cuando se realiza una auditoría conjunta, es importante alcanzar un acuerdo entre las organizaciones auditoras, antes del comienzo de la auditoría, sobre las responsabilidades específicas de cada organización, particularmente en relación con la autoridad del auditor jefe designado para el trabajo.

ü  Definición de los objetivos, el alcance y los criterios de auditoría

Dentro del marco de los objetivos generales de un programa de auditoría, una auditoría particular debería estar basada en objetivos, alcance y criterios documentados.

Los objetivos de la auditoría deberían ser definidos por el cliente. El alcance y los criterios deberían definirse entre el cliente y el auditor jefe del equipo de acuerdo con los procedimientos del programa de auditoría. Cualquier cambio de los objetivos, el alcance o los criterios debería acordarse por las mismas partes.

Los objetivos de la auditoría definen qué es lo que se va a conseguir con la misma. Los objetivos pueden incluir:

a)    determinar el grado de conformidad del sistema de gestión del auditado, o de parte de él, con los criterios de auditoría;

b)    evaluar la capacidad del sistema de gestión para asegurar el cumplimiento de los requisitos reglamentarios y contractuales;

c)    evaluar la eficacia del sistema de gestión para lograr los objetivos especificados, o

d)    identificar áreas de mejora potencial del sistema de gestión.

El alcance de la auditoría describe su extensión y límites, tales como localizaciones físicas, unidades de la organización, actividades y procesos a ser auditados y el período de tiempo cubierto por la misma.

Los criterios de auditoría pueden incluir políticas, procedimientos, normas, leyes y reglamentos, requisitos del sistema de gestión, requisitos contractuales o códigos de conducta sectoriales, industriales o de negocio aplicables.

Cuando se va a realizar una auditoría combinada, es importante que el auditor jefe del equipo se asegure de que los objetivos, el alcance y los criterios, y la composición del equipo auditor sean apropiados a la naturaleza de la auditoría combinada.

ü  Determinación de la viabilidad de la auditoría

Los responsables de la gestión del programa de auditoría deberían determinar su viabilidad teniendo en consideración factores tales como:

a)    la información suficiente y apropiada para planificar la auditoría;

b)    la disponibilidad de cooperación adecuada del auditado;

c)    la disponibilidad de tiempo y recursos adecuados.

Cuando la auditoría no es viable, los responsables del programa, tras consultar con el auditado, deberían proponer al cliente de la auditoría una alternativa.

 

ü  Establecimiento del equipo auditor

Cuando la auditoría se considera viable, se debería establecer un equipo auditor teniendo en cuenta la competencia necesaria para lograr los objetivos. Cuando hay un solo auditor, éste debería desempeñar todas las tareas aplicables al auditor jefe de equipo.

Aquellos responsables de gestionar el programa de auditoría y/o el auditor jefe del equipo, de acuerdo con el cliente, y si es necesario, con el auditado, deberían identificar los recursos necesarios.

En el momento de decidir el tamaño y la composición del equipo auditor, se debería considerar lo siguiente:

a)    los objetivos, el alcance, los criterios y la duración estimada de la auditoría;

b)    la competencia global del equipo auditor necesaria para conseguir los objetivos de la auditoría;

c)    los requisitos de los organismos de acreditación/certificación, si es aplicable;

d)    la necesidad de asegurarse de  la independencia del equipo auditor de las actividades a ser auditadas y de evitar conflictos de intereses;

e)    la capacidad de los miembros del equipo auditor para interactuar eficazmente con el auditado y trabajar  conjuntamente;

f)     el idioma de la auditoría y la comprensión de las características sociales y culturales del auditado, bien a través de las propias habilidades del auditor o a través del apoyo de un experto técnico.

El proceso de asegurar la competencia global del equipo auditor debería incluir los siguientes pasos:

a)    identificar el conocimiento y habilidades necesarias para alcanzar los objetivos de la auditoría;

b)    seleccionar los miembros del equipo auditor de tal manera que todo el conocimiento y las habilidades estén presentes en el equipo auditor.

Si el conocimiento y habilidades necesarias no se encuentran cubiertas en su totalidad por los auditores del equipo auditor, se pueden satisfacer incluyendo expertos técnicos. Los expertos técnicos deberían actuar bajo la dirección de un auditor.

Tanto el cliente de la auditoría como el auditado pueden requerir la sustitución de miembros del equipo auditor en particular con argumentos razonables basados en los principios de la auditoría. Estos argumentos deberían comunicarse al auditor jefe y a aquellos responsables de la gestión del programa de auditoría quienes deberían tomar decisiones para sustituir a los miembros del equipo. Ejemplos de argumentos razonables incluyen situaciones de conflicto de intereses (tales como que un miembro del equipo auditor haya sido un antiguo trabajador del auditado o que haya prestado servicios de consultoría) y un comportamiento previo no ético.

ü  Establecimiento del contacto inicial con el auditado

El contacto inicial con el auditado puede ser informal o formal y debería establecerse por los responsables de gestionar el programa de auditoría o el auditor jefe del equipo. El propósito del contacto inicial es:

a)    establecer los canales de comunicación;

b)    proporcionar información sobre el cronograma  y la composición del equipo auditor propuestos;

c)    requerir acceso a los documentos pertinentes, incluyendo registros;

d)    determinar las reglas de seguridad aplicables al lugar;

e)    hacer los preparativos para la auditoría

f)     acordar mutuamente la necesidad de acompañantes tales como observadores o guías para el equipo auditor.

 

REALIZACIÓN DE LA REVISIÓN DE DOCUMENTOS

Antes de las actividades de auditoría in situ, la documentación del auditado debería ser revisada para determinar la conformidad del sistema, según documentación, con los criterios de auditoría. La documentación puede incluir documentos y registros pertinentes del sistema de gestión e informes de auditorías previas. La revisión debería tener en cuenta el tamaño, la naturaleza y complejidad de la organización, y los objetivos y el alcance de la auditoría. Puede ser necesaria la realización de una visita preliminar al lugar para tener una vista general apropiada de la información disponible.

Si se encuentra que la documentación es inadecuada, el auditor jefe debería informar al cliente de la auditoría, a los responsables de la gestión del programa de auditoría y a los auditados. No se deberían asignar nuevos recursos a la auditoría hasta que estos problemas se resuelvan.

 

PREPARACIÓN DE LAS ACTIVIDADES DE AUDITORÍA IN SITU.

ü  Preparación del plan de auditoría

El auditor jefe del equipo debería preparar un plan de auditoría que proporcione la información necesaria al equipo auditor, al auditado y al cliente de la auditoría. Este plan debería facilitar la programación y la coordinación de las actividades de la auditoría.

La cantidad de detalles proporcionada en el plan de auditoría debería reflejar el alcance y la complejidad de la auditoría. Los detalles pueden, por ejemplo, diferir entre auditorías iniciales y las posteriores y también entre auditorías internas y externas. El plan de auditoría debería ser suficientemente flexible para permitir cambios tales como  modificaciones en el alcance de la auditoría que podrían llegar a ser necesarias a medida que se van desarrollando las actividades de auditoría.

El plan de auditoría debería incluir o describir:

a)    los objetivos de auditoría;

b)    los criterios de auditoría y los documentos de referencia;

c)    el alcance, incluyendo la identificación de las unidades funcionales y de organización y los procesos que van a auditarse;

d)    las fechas y lugares donde se van a realizar las actividades de auditoría in situ;

e)    la hora y la duración estimadas de las actividades de la auditoría in situ, incluyendo las reuniones con la dirección del auditado y las reuniones del equipo auditor;

f)     las funciones y responsabilidades de los miembros del equipo auditor y de cualquier persona que los acompañe;

g)    la asignación de los recursos necesarios a las áreas críticas de la auditoría.

Además, el plan de auditoría debería incluir, cuando sea apropiado:

a)    la identificación del representante del auditado en la auditoría;

b)    el idioma de trabajo y del informe de la auditoría, cuando es diferente del idioma del auditor y/o del auditado;

c)    los contenidos del informe de auditoría (incluyendo cualquier método de clasificación de no conformidades), formato y estructura, y fecha prevista de emisión y distribución;

d)    preparativos logísticos (viajes, instalaciones in situ, etc.);

e)    asuntos relacionados con la confidencialidad.

Cuando se realiza una auditoría conjunta, el jefe del equipo designado para la auditoría debería especificar los métodos de comunicación con el auditado, cómo se va a realizar la auditoría y la preparación y distribución del informe.

El plan debería ser revisado y aceptado por el cliente de la auditoría y presentado al auditado antes de que comiencen las actividades de la auditoría in situ.

Cualquier objeción del auditado debería ser resuelta entre el auditor jefe del equipo, el auditado y el cliente de la auditoría. Cualquier revisión al plan de auditoría debería ser acordada entre las partes interesadas antes de continuar la auditoría.

 

ü  Asignación de las tareas al equipo auditor

El auditor jefe, en acuerdo con el equipo auditor, debería asignar a cada miembro del equipo la responsabilidad para auditar procesos, funciones, lugares, áreas o actividades específicos del sistema de gestión. Tales asignaciones deberían considerar la necesidad de independencia y competencia del auditor, y el uso eficaz de los recursos, así como las diferentes funciones y responsabilidades de los auditores, auditores en formación y expertos técnicos. Los cambios en la asignación de tareas se pueden realizar a medida que la auditoría se va realizando para asegurarse de que se cumplen los objetivos de la auditoría.

Los miembros del equipo auditor deberían revisar la información pertinente relacionada con su parte de auditoría asignada y preparar los documentos de trabajo necesarios para estas asignaciones.

 

ü  Preparación de los documentos de trabajo

Los documentos de trabajo se deberían preparar y utilizar por el equipo auditor como referencia y registro del desarrollo de la auditoría y pueden incluir:

a)    listas de verificación y planes de muestreo de auditoría;

b)    formularios para registrar información, tales como evidencias de apoyo, hallazgos de auditoría y anotaciones de las reuniones.

El uso de listas de verificación y formularios no debería restringir la extensión de las actividades de auditoría que pueden cambiarse como resultado de la información recopilada durante la auditoría.

Los documentos de trabajo incluyendo los registros que resultan de su uso, se deberían mantener, al menos, hasta que se culmine la auditoría. El mantenimiento de los documentos después de culminar la auditoría,  Aquellos que contengan información confidencial o del propietario deberían ser guardados adecuadamente durante todo el tiempo por los miembros del equipo auditor.

 

REALIZACIÓN DE ACTIVIDADES DE AUDITORÍA IN SITU

ü  Realización de la reunión de apertura

Se debería realizar una reunión de apertura con la dirección del auditado o, cuando sea apropiado, con aquellos responsables para las funciones o procesos que se van a auditar. El propósito de una reunión de apertura es:

a)    revisar el plan de auditoría;

b)    proporcionar un breve resumen de cómo se llevarán a cabo las actividades de auditoría;

c)    confirmar los canales de comunicación;

d)    proporcionar al auditado la oportunidad de realizar preguntas.

 

ü  Comunicación durante la auditoría

Dependiendo del alcance y de la complejidad de la auditoría, puede ser necesario llegar a acuerdos formales para la comunicación durante la auditoría.

Los miembros del equipo auditor deberían consultarse periódicamente para intercambiar información, evaluar el progreso de la auditoría y reasignar el trabajo entre los auditores si es necesario.

Durante la auditoría, el auditor jefe del equipo debería comunicar periódicamente al auditado y al cliente de la auditoría, cuando sea conveniente, el estado de la auditoría y cualquier inquietud. Las evidencias recopiladas durante la auditoría que sugieren un riesgo inmediato y significativo (por ejemplo, seguridad, medio ambiente o calidad) deberían ser comunicadas sin retraso al auditado y, si es apropiado, al cliente de la auditoría.

Cuando las evidencias disponibles de la auditoría indican que los objetivos de la auditoría no son alcanzables, el auditor jefe del equipo debería informar de las razones al cliente de la auditoría y al auditado para determinar las acciones apropiadas. Estas acciones pueden incluir la reconfirmación del plan de auditoría, la terminación de la auditoría o un cambio en los objetivos de la auditoría y/o en el alcance.

Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a medida que las actividades de auditoría in situ progresan debería revisarse con el cliente de la auditoría y aprobarse por él y, cuando sea apropiado, por el auditado. Cualquier inquietud relacionada con un aspecto externo al alcance de la auditoría debería registrarse y notificarse al auditor jefe del equipo, para su posible comunicación al cliente de la auditoría o al auditado.

ü  Funciones y responsabilidades de los guías y de los observadores

Los guías y observadores pueden acompañar al equipo auditor pero no forman parte del mismo. No deberían influir o interferir en la realización de la auditoría.

Cuando se asignan guías, éstos deberían asistir al equipo auditor y actuar cuando lo solicite el auditor jefe del equipo. Sus obligaciones  pueden incluir:

a)    establecer los contactos y horarios para las entrevistas;

b)    acordar las visitas a partes específicas de las instalaciones o de la organización;

c)    asegurarse de que las reglas concernientes a los procedimientos de las instalaciones relacionados con la protección y la seguridad  son conocidos y respetados por los miembros del equipo auditor.

Los guías pueden ser testigos de la auditoría en nombre del auditado. A requerimiento del auditor, los guías pueden proporcionar aclaraciones o ayudar en la recopilación de la información correcta.

ü  Recopilación y verificación de la información

La figura 4 proporciona una visión general de los procesos desde la recopilación de la información hasta las conclusiones de la auditoría.

 

Figura 4.  Visión general del proceso desde la recopilación de información hasta las conclusiones de la auditoría

 

La información pertinente para los objetivos, el alcance y los criterios de la auditoría, incluyendo la información relacionada con las interrelaciones entre funciones, actividades y procesos,  debería recopilarse mediante un muestreo apropiado durante la auditoría y verificarse. Sólo la información que es verificable puede constituir evidencia de la auditoría. La evidencia de la auditoría debería ser registrada como tal.

Los métodos para recopilar esta información incluyen:

a)    entrevistas;

b)    observación de actividades;

c)    revisión de documentos.

ü  Generación de hallazgos de la auditoría

La evidencia de la auditoría debería ser evaluada contra los criterios de auditoría para generar los hallazgos. Los hallazgos de auditoría pueden indicar tanto conformidad o no conformidad con los criterios de auditoría e identificar una oportunidad para la mejora.

El equipo auditor debería reunirse cuantas veces sea necesario para revisar los hallazgos de auditoría en etapas adecuadas durante la misma.

Las conformidades deberían ser resumidas para indicar los lugares, las funciones, los procesos, o los requisitos que fueron auditados. Si fuera incluido en el plan de auditoría, se deberían registrar los hallazgos de la auditoría individuales de conformidad y sus evidencias de apoyo.

Las no conformidades y las evidencias de la auditoría que las apoyan también deberían registrarse. Las no conformidades pueden clasificar. Éstas deberían ser revisadas con los representantes apropiados del auditado. El propósito de la revisión es obtener el reconocimiento de que la evidencia de la auditoría es exacta y que las no conformidades han sido comprendidas. Se debería realizar todo el esfuerzo posible para resolver cualquier divergencia de opinión concerniente a las evidencias y/o los hallazgos de la auditoría, y deberían registrarse los puntos en los que no haya acuerdo.

ü  Preparación de las conclusiones de la auditoría

El equipo auditor debería reunirse antes de la reunión de cierre para:

a)    revisar los hallazgos de la auditoría y cualquier otra información apropiada recopilada durante la auditoría contra los objetivos de la misma;

b)    acordar las conclusiones de la auditoría teniendo en cuenta la incertidumbre en la misma;

c)    preparar recomendaciones, si estuviera especificado en los objetivos de la auditoría;

d)    discutir el seguimiento de la auditoría, si es apropiado.

 

ü  Realización de la reunión de cierre

La reunión de cierre debería realizarse para presentar los hallazgos y conclusiones de la auditoría de tal manera que sean comprendidas y reconocidas por el auditado, y para ponerse de acuerdo, si es necesario, en el período de tiempo para que el auditado presente el plan de acciones correctivas. Entre los participantes en la reunión de cierre debería incluirse al auditado y podría también incluirse al cliente de la auditoría y a otras partes. Si es apropiado, el auditor jefe del equipo debería informar al auditado de las situaciones que se han encontrado durante la auditoría que pueden llevar a una disminución de la confianza.

En muchos casos, por ejemplo, en auditorías internas en pequeñas organizaciones, la reunión de cierre puede consistir en comunicar los hallazgos de la auditoría y las conclusiones de la misma.

Para otras situaciones de auditoría, la reunión debería ser formal y las actas, incluyendo los registros de asistencia, deberían conservarse. La reunión dirigida por el auditor jefe del equipo debería llevarse a cabo en presencia de la dirección del auditado y de los responsables de las funciones auditadas.

Cualquier opinión divergente relativa a los hallazgos de la auditoría o a las conclusiones entre el equipo auditor y el auditado deberían discutirse y, si es posible, resolverse. Si no se resolvieran, las dos opiniones deberían registrarse.

Si está especificado en los objetivos de la auditoría, se deberían presentar recomendaciones de mejora. Se debería enfatizar que las recomendaciones no son obligatorias.

 

PREPARACIÓN, APROBACIÓN Y DISTRIBUCIÓN DEL INFORME DE LA AUDITORÍA

ü  Preparación del informe de auditoría

El auditor jefe del equipo debería ser responsable de la preparación y el contenido del informe de la auditoría.

ü  El informe de la auditoría debería proporcionar un registro de la auditoría completo, preciso, conciso y claro.

ü  El informe de la auditoría debería incluir, o hacer referencia a lo siguiente:

a)    los objetivos de la auditoría;

b)    el alcance de la auditoría, particularmente la identificación de las unidades organizativas y funcionales, organización o los procesos auditados y el período de tiempo cubierto;

c)    la identificación del cliente de la auditoría;

d)    la identificación de los miembros del equipo auditor;

e)    las fechas y los lugares donde se realizaron las actividades de auditoría in situ;

f)     los criterios de auditoría;

g)    los hallazgos de la auditoría;

h)    las conclusiones de la auditoría.

El informe de la auditoría debería incluir también o hacer referencia a lo siguiente, según sea apropiado:

a)    el plan de auditoría;

b)    una lista de representantes del auditado;

c)    un resumen del proceso de auditoría, incluyendo los obstáculos encontrados que pueden disminuir la confianza que puede depositarse en las conclusiones de la auditoría;

d)    la confirmación de que los objetivos de la auditoría han sido cumplidos dentro del alcance de la auditoría, de acuerdo con el plan de la misma;

e)    las áreas no cubiertas, aunque se encuentren dentro del alcance de la auditoría;

f)     las opiniones divergentes no resueltas entre el equipo auditor y el auditado;

g)    las recomendaciones para la mejora, si se especificó en los objetivos de la auditoría;

h)    los planes de acción del seguimiento acordados;

i)     una declaración sobre la naturaleza confidencial de los contenidos;

j)     la lista de distribución del informe de la auditoría.

 

ü  Aprobación y distribución del informe de la auditoría

El informe de la auditoría debería emitirse en el período de tiempo acordado. Si esto no es posible, se debería comunicar al cliente de la auditoría las razones para el retraso y acordar una nueva fecha de emisión.

El informe de la auditoría debería estar fechado, revisado y aprobado según se haya definido en los procedimientos del programa de auditoría.

El informe de la auditoría debería entonces distribuirse a los receptores designados por el cliente de la auditoría.

El informe de la auditoría es propiedad del cliente de la auditoría y los miembros del equipo auditor y todos los receptores del informe deberían respetar y salvaguardar la debida confidencialidad.

 

CULMINACIÓN DE LA AUDITORÍA

ü  Retención de los documentos

Los documentos que pertenecen a la auditoría deberían retenerse o destruirse de común acuerdo entre las partes participantes y conforme a los procedimientos del programa de auditoría y los requisitos reglamentarios o contractuales aplicables.

ü  Salvo que sean requeridos por ley, el equipo auditor y los responsables de la gestión del programa de auditoría no deberían revelar el contenido de los documentos, cualquier otra información obtenida durante la auditoría, ni el informe de la auditoría a ninguna otra parte sin la aprobación explícita del cliente de la auditoría y, cuando sea apropiado, de la aprobación del auditado. Si se requiere revelar los contenidos de un documento de la auditoría, el cliente de la auditoría y el auditado deberían ser informados tan pronto como sea posible.

ü  Finalización de la auditoría

La auditoría se completa cuando todas las actividades incluidas en el plan de auditoría se han finalizado y el informe de la auditoría aprobado ha sido distribuido.

 

REALIZACIÓN DEL SEGUIMIENTO DE LA AUDITORÍA

Las conclusiones de la auditoría pueden indicar la necesidad de acciones correctivas, preventivas, y  de mejora, según sea aplicable. Tales acciones no se consideran parte de la auditoría y generalmente son emprendidas por el auditado en un período de tiempo acordado. El auditado debería mantener informado al cliente de la auditoría sobre el estado de estas acciones, cuando sea apropiado.

La culminación y eficacia de la acción correctiva debería verificarse de acuerdo con un procedimiento adecuado. Esta verificación puede ser parte de una auditoría posterior.

 

 

 

CASO PRÁCTICO DONDE SE EXPLICA APLICACIÓN DE SEGURIDAD EN SIG

 

 

El caso de estudio es un sistema desarrollado para la organización llamado “Sistema Centralizado de Seguridad sobre la Intranet (SCSI)”, este es un desarrollo planteado por la gerencia por la necesidad de proteger la información valiosa de la organización dentro de la gerencia de automatización y control de sistemas industriales; surge la necesidad ya que se disponen de sistemas de visualización de datos para el personal de la parte gerencial pero, no todas las personas deben accesar a estos sistemas de visualización de datos aún cuando estos se encuentran en la intranet corporativa; he allí el nacimiento del sistema “SCSI” el cual provee un repositorio común de accesos a aplicaciones donde el mismo puede ser llamado usando servicios Web, componentes .net o procedimientos guardados (store procedures). Este repositorio tiene roles para el analista, el usuario custodio (referente) y el administrador del sistema. Toda la información del usuario se toma del directorio activo aplicando de esta manera programación de seguridad orientada a objetos siendo cada unos de los nombrados un ente necesario para la seguridad y tomados en cuenta como parte fundamental de la programación.

 

  Roles:

¨      Súper Usuario: usuario quien tiene acceso a todas las opciones de la aplicación de seguridad sin ningún tipo de restricción.

¨      Analista custodio de aplicación: persona quien crea los catálogos de las aplicaciones a la cuáles él es custodio dentro del SCSI.

¨      Usuario Custodio de Aplicación: usuario quien tiene acceso a dar o quitar permisos sobre una aplicación a otros usuarios.

 

  Entidades:

¨      Aplicación: agrupación de catálogos a los cuales se les puede dar o negar permiso.

¨      Catálogo: unidad mínima de permiso, puede ser una página, una opción, etc., los catálogos tienen una clave única la cual se utiliza para ejecutar la verificación de permiso.

¨      Grupo: agrupación de usuarios y catálogos que comparten el perfil de permisos.

¨      Usuario: persona que tiene permiso sobre los grupos, los permisos de los grupos son heredados por los usuarios.

 

  Relaciones:

¨      Grupo vs. Catálogo: un Grupo puede tener asignados catálogos, en esta relación se especifican los tipos de permisos permitidos: lectura, escritura, modificación, anulación, lectura especial.

¨      Grupo vs. Usuario: relación de los usuarios que pertenecen al grupo, estos usuarios heredan los permisos asignados al grupo sobre los catálogos indicados en la relación anterior.

¨      Aplicación vs. Usuario Custodio: relación entre aplicación y usuario, ésta se utiliza para indicar cuál usuario tiene rol de custodio.

 

  Opciones de Uso:

¨      Utilizando Servicios Web: existen varios servicios web alojados en servidores propios de la intranet de la gerencia los cuales proveen la funcionalidad básica para la autenticación y el uso del repositorio de seguridad.

¨      Componente .NET: se creó un componente .net llamado AccessRules.dll el cual es llamado por los servicios Web, este tiene la misma funcionalidad, es una capa inferior.

¨      Procedimientos almacenados: todos los accesos están programados en la base de datos, lo que da otro nivel de autenticación.

 

  Servicio Opcional:

¨      Se construyó un servicio para acceder el directorio activo, el cual provee métodos de búsqueda por el nombre, el indicador y el dominio

 

  Auditoría:

¨      Existe una tabla que guarda cualquier creación, modificación o eliminación de los registros de las tablas de la base de datos de seguridad. Esto siempre y cuando se emplee la aplicación, porque alguien con suficiente permiso puede evitar esto. Por esto es recomendable utilizar los servicios Web adecuados para validar los permisos, que exista un solo “super usuario” y que no todos tengan acceso administrados a la base de datos.

 

  Pasos a seguir recomendados en la auditoria de este sistema

¨      Presentación de los programadores, incluyendo una descripción general de las programaciones objetivas de cada uno de ellos.

¨      Confirmación de los objetivos, alcance y criterios de auditoría propia para este sistema.

¨      Confirmación del horario de la auditoría y otras disposiciones pertinentes con el sistema a ser auditado “SCSI”, como la fecha y hora de la reunión de cierre.

¨      Métodos y procedimientos que se  utilizarán para realizar la auditoría del “SCSI”.

¨      Confirmación de los vínculos de comunicación formal entre el equipo auditor y el grupo de los programadores.

¨      Confirmación de que durante la auditoría, el grupo de programadores será informado del progreso de la misma

¨      Identificar método de información incluyendo la clasificación de las no conformidades.

¨      Información acerca de las condiciones bajo las cuales la auditoría puede darse por terminada

¨      Entrevistas con usuarios director y con otros usuarios cualquieras del sistema.

¨      Observaciones de los procesos. del ambiente y condiciones de trabajo circundantes

¨      Revisión de documentos, tales como políticas, objetivos, planes, procedimientos, instrucciones, licencias y permisos, especificaciones, planos, actas de reuniones (minutas de seguimiento del proyecto), informes de pre-auditorias, registros de programas de seguimiento.

¨      Revisión de informes de otros sistemas u otras fuentes, por ejemplo, retroalimentación de los usuarios, otra información pertinente de otros usuarios.

¨      Visualización de organización sistemática y normalizada de bases de datos informáticas.

¨      Presentación de plan de una eficaz implementación y mantenimiento del sistema “SCSI”.

 

 

  Arquitectura empleada para el desarrollo.

 

 

  Ventajas de la arquitectura utilizada.

  Mejoras en el mantenimiento de la aplicación.

  Abstracción en el momento de crear las páginas, da más facilidad para la creación de las mismas, ya que no hay que reescribir código para el acceso a datos.

  La creación de componentes facilita implementar funcionalidad de la aplicación en cualquier aplicación que requiera funciones de la misma.

  Facilidad para la migración (ejemplo de base de datos).

  Juego único de rutinas, que pueden ser reutilizadas en cualquier aplicación.

 

 

Este sistema SCSI “Sistema Centralizado de Seguridad sobre la Intranet”, es una gran muestra de sistemas seguros utilizados en la organización, en este podemos visualizar que la programación es por medio de objetos no dependientes pero si vinculantes los unos con los otros para de esta manera facilitar la accesibilidad y garantizar la seguridad en los sistemas Web de la Intranet, propósito del sistema explicado. Se ve que la programación utilizando las políticas de calidad y seguridad estándares de la empresa es el nuevo auge en esta organización como en otras que utilizan tecnologías de punta e innovadoras.

 

 

CONCLUSIONES

 

 

 

·         La seguridad informática implica garantizar que los recursos informáticos de una organización estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos.

 

·         Debido a la existencia de un número importante de amenazas y riesgos, la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.

 

·         Se debe tener en consideración que las amenazas y las vulnerabilidades no desaparecerán en su totalidad; sin embargo, los niveles de inversión en el área de seguridad de cualquier organización deben ir acordes a la importancia de la información en riesgo.

 

·         Las políticas de seguridad deben ser proactivas, e integrar una serie de iniciativas para actuar en forma rápida y eficaz ante incidentes y recuperación de información, así como elementos para generar una cultura de seguridad dentro de toda organización.

 

·         Con una auditoría de sistemas se persigue fundamentar la opinión del auditor interno (o externo) sobre la confiabilidad de los sistemas de información y expresar su valoración sobre la eficiencia de las operaciones en el área de tecnología de la información de la empresa.

 

 

 

 

INFOGRAFÍA