Auditoria de Sistemas Informticos: Evaluacin de Sistemas

Ing. Gustavo H. Prez Gonzlez

La serie 27000
ISO 27001: Publicada el 15 de Octubre de 2005. Contiene los requisitos del sistema de gestin de seguridad de la informacin (SGSI) Es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.

La serie 27000
ISO 27002: Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

ISO 27001:2005
Normas para consulta. Trminos y definiciones. Sistema de gestin de la seguridad de la informacin. Responsabilidad de la direccin. Auditoras internas del SGSI. Revisin del SGSI por la direccin

ISO 27002:2005 (anterior ISO 17799:2005)

Evaluacin y tratamiento del riesgo. Poltica de seguridad. Aspectos organizativos de la seguridad de la informacin. Gestin de activos. Seguridad ligada a los recursos humanos. Seguridad fsica y ambiental. Gestin de comunicaciones y operaciones.

ISO 27002:2005 (anterior ISO 17799:2005)

Control de acceso. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin. Gestin de incidentes de seguridad de la informacin. Gestin de la continuidad del negocio. Cumplimiento.

Cmo adaptarse?

Planificacin
Definir alcance del SGSI: en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa. Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable.

Planificacin
Inventario de activos: Todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. Identificar los impactos: los que podra suponer una prdida de confidencialidad, la integridad o la disponibilidad de cada uno de los activos.

Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable o requiere tratamiento.

Planificacin
Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido, eliminado, aceptado o transferido. Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior.

Aprobacin por parte de la Direccin del riesgo residual autorizacin de implantar el SGSI: hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la Direccin puede tomar decisiones sobre su aceptacin o tratamiento.
Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo

Diagrama de seguridad de los sistemas

Confidencialidad
Consiste en proteger la informacin contra la lectura no autorizada explcitamente. Incluye no slo la proteccin de la informacin en su totalidad, sino tambin las piezas individuales que pueden ser utilizadas para inferir otros elementos de informacin confidencial.

Confidencialidad
El anlisis de riesgos implica determinar lo siguiente: Qu se necesita proteger De quin protegerlo Cmo protegerlo

Confidencialidad
Cmo aseguramos que no estn ingresando a nuestro sistema por un puerto desprotegido o mal configurado? Cmo nos aseguramos de que no se estn usando programas propios del sistema operativo o aplicaciones para ingresar al sistema en forma clandestina?

Cmo aseguramos al que, ante un corte de energa elctrica, el sistema seguir funcionando?
Cmo nos aseguramos de que los medios de transmisin de informacin no son suceptibles de ser monitoreados? Cmo acta la organizacin frente al alejamiento de uno de sus integrantes?

Confidencialidad
Diariamente: Extraer una lista sobre el volumen de correo transportado. Extraer una lista sobre las conexiones de red levantadas en las ltimas 24 horas. Semanalmente: Extraer una lista sobre los ingresos desde el exterior a la red interna. Extraer una lista con las conexiones externas realizadas desde nuestra red. Obtener una lista sobre los downloads de archivos realizados y quin los realiz. Obtener grficos sobre trfico en la red. Obtener logsticos sobre conexiones realizadas en horarios no normales. Mensualmente: Realizar un seguimiento de todos los archivos las listas a fin de detectar cambios.

Procedimiento de alta de cuenta de usuario

Cuando un elemento de la organizacin requiere una cuenta de operacin en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos: Nombre y Apellido Puesto de trabajo Jefe inmediato superior que avale el pedido Descripcin de los trabajos que debe realizar en el sistema Consentimiento de que sus actividades son susceptibles de ser auditadas en cualquier momento Explicaciones breves, pero claras de cmo elegir su password. Tipo de cuenta Fecha de caducidad Fecha de expiracin Datos referentes a los permisos de acceso.

Prevencin y respuesta
Coloque access lists en los routers. Instale patches a su sistema operativo contra flooding de TCP SYN. Invalide cualquier servicio de red innecesario o no utilizado. Observe el funcionamiento del sistema y establezca valores base para la actividad ordinaria. Incluya como parte de su rutina, el examen de su seguridad fsica. Utilice una herramienta para detectar cambios en la informacin de configuracin u otros archivos. Trate de utilizar configuraciones de red redundantes y faulttolerant.