Header image
Trabajo 2
  Inicio .::.
   
 

Detección de vulnerabilidades: Auditoria de seguridad de un SI

Introducción | La seguridad... | Detección... | Comercio... | Mecanismos...
Hechos... | Caso práctico | Bibliografía

Una auditoria de seguridad informática o auditoria de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorias de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Fases de una auditoria

Los servicios de auditoria constan de las siguientes fases:

  1. Enumeración de redes, topologías y protocolos
  2. Identificación de sistemas y dispositivos
  3. Identificación de los sistemas operativos instalados
  4. Análisis de servicios y aplicaciones
  5. Detección, comprobación y evaluación de vulnerabilidades
  6. Medidas específicas de corrección
  7. Recomendaciones sobre implantación de medidas preventivas.

Tipos de auditoria

Los servicios de auditoria pueden ser de distinta índole:
Auditoria de seguridad interna. En este tipo de auditoria se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
Auditoria de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
Test de intrusión. El test de intrusión es un método de auditoria mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoria perimetral.
Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
Auditoria de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
Auditoria de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Realizar auditorias con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoria.

Estándares de Auditoria Informática y de Seguridad

Una auditoria se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Uno de ellos es CoBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoria apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoria y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

Consideraciones inmediatas para la Auditoria de Seguridad

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:      

  1. tiempo de máquina para uso ajeno
  2. copia de programas de la organización para fines de comercialización (copia pirata)
  3. acceso directo o telefónico a bases de datos con fines fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:

  1. nivel de seguridad de acceso
  2. empleo de las claves de acceso
  3. evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:

  1. la información este en manos de algunas personas
  2. la alta dependencia en caso de pérdida de datos

Control de Programación

Se debe tener conocer que el delito más común está presente en el momento de la programación, ya  que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

  1. los programas no contengan bombas lógicas
  2. los programas deben contar con fuentes y sus últimas actualizaciones
  3. los programas deben contar con documentación  técnica, operativa y de emergencia

Personal

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

  1. la dependencia del sistema a nivel operativo y técnico
  2. evaluación del grado de capacitación operativa y técnica
  3. contemplar la cantidad de personas con acceso operativo y administrativo
  4. conocer la capacitación del personal en situaciones de emergencia

Control de Residuos

Observar cómo se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja.
Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar responder las siguientes cuatro preguntas:

  • ¿Qué sucedería si no se puede utilizar el sistema?
  • ¿Qué consecuencias traería si es que no se pudiera acceder al sistema?
  • ¿Existe un procedimiento alternativo y que problemas ocasionaría?
  • ¿Qué se ha hecho en casos de emergencia hasta ahora?


Realizado por: Jorge Eliecer Jaimes Jimenez - Junio 2008
 
       
Hosted by www.Geocities.ws

1