CINCO VARIABLES DE AUDITORÍA DE SISTEMAS HACIENDO ÉNFASIS EN

SISTEMAS OPERATIVOS CON SUS RESPECTIVAS CARACTERÍSTICAS Y

LOS CORRESPONDIENTES CONTROLES DE SEGURIDAD.

POLÍTICA DE SEGURIDAD

La RFC 1244 define la política de seguridad como: Una declaración de

intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y
que proporciona las bases para definir y delimitar responsabilidades para las
diversas actuaciones técnicas y organizativas que se requieran.

En otras palabras, las políticas de seguridad informática detallan una serie de

normas y protocolos a seguir donde se definen las medidas a tomar para la
protección de la seguridad del sistema, así como la definición de los
mecanismos para controlar su correcto funcionamiento. Tienen como objetivo
concienciar a los miembros de una organización sobre la importancia y
sensibilidad de la información y servicios críticos. Se puede decir que son una
descripción de todo aquello que se quiere proteger.

Características

Cubre aspectos relacionados con la protección física, lógica, humana y de

comunicación.

Define las reglas y procedimientos para los servicios críticos.

Establece las acciones que habrá que ejecutar y el personal que deberá estar
involucrado.

Sensibiliza al personal del departamento encargado de la administración del

sistema informático de los posibles problemas relacionados con la seguridad
que pueden producirse.

Clasifica los activos a proteger en función de su nivel de criticidad, de forma

que los sistemas vitales sean los más protegidos y no se gasten recursos en
proteger aquellos activos con menor importancia.

Incorpora medidas de control que deben ser efectivas, fáciles de usar,

actualizadas periódicamente, apropiadas a la situación y que deben funcionar
en el momento adecuado.

Controles de Seguridad

Planes de contingencia: Las políticas de seguridad contemplan la parte de

prevención de un sistema, pero no hay que desechar la posibilidad de que, aun
a pesar de las medidas tomadas, pueda ocasionarse un desastre. Hay que
recordar que ningún sistema es completamente seguro. Es en este caso
cuando entran en juego los planes de contingencia. El plan de contingencia
contiene medidas detalladas para conseguir la recuperación del sistema, es
decir, creadas para ser utilizadas cuando el sistema falle, no con la intención de
que no falle.

Políticas de seguridad corporativa: La primera medida de seguridad lógica que

debe adoptar una empresa es establecer unas normas claras en las que se
indique qué se puede y qué no se puede hacer al operar con un sistema
informático. Estas normas marcan las pautas generales de utilización del
sistema y configuran el marco de actuación de todos los usuarios.

Entre las políticas de seguridad relacionadas con la seguridad informática

tenemos las siguientes:

 Instalación, mantenimiento y actualización de los equipos.

 Control de acceso a áreas críticas de la empresa y a recursos críticos del
sistema.
 Utilización de recursos de las redes informáticas.
 Mantenimiento de las redes.
 Adquisición, instalación y actualización de software.
 Privacidad de la información.
 Autenticación de usuarios.
 Información de errores o de accesos al sistema.
 Contraseñas.

AUTENTICACIÓN DE USUARIOS

Sistema que trata de evitar accesos indebidos a la información a través de un

proceso de identificación de usuarios, que en muchos casos se realiza
mediante un nombre de usuario y una contraseña. Las listas de control de
acceso son una herramienta que permite controlar qué usuarios pueden
acceder a las distintas aplicaciones, sistemas, recursos, dispositivos, etc.

Características

Garantizar que el usuario establecido sea quien realmente ingrese a la

información es imprescindible para garantizar su integridad.

El objetivo de estos estándares o regulaciones es garantizar

la integridad, disponibilidad y confidencialidad de la información. Uno de los
controles más comunes para garantizar estas tres características es
la autenticación de usuarios.

Camilo Gutiérrez Amaya 25 Apr 2013 - 11:39AM,

https://www.welivesecurity.com
Cualquier sistema de identificación ha de poseer unas determinadas
características para ser viable:

 Ha de ser fiable con una probabilidad muy elevada (podemos hablar de

tasas de fallo de en los sistemas menos seguros)....
 Económicamente factible para la organización (si su precio es superior al
valor de lo que se intenta proteger, tenemos un sistema incorrecto).
 Soportar con éxito cierto tipo de ataques.
 Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo
utilicen.
 Respuesta inmediata, directa, inteligente, sencilla, ante cada situación.

6 abr 2018 a las 02:16, https://es.wikipedia.org

Controles de Seguridad

Registro: Inventario de componentes y/o usuarios que pertenecen a sistema.

Identificación: En el registro se debe anotar un identificador de usuario

(nombre, apodo, numero, etc) que lo distinga de los demás.

Autenticación: Dato (autenticador) que se relaciona con el usuario. Los

mecanismos de autenticación se clasifican en cuatro grupos: Algo que el
usuario conoce (contraseña); Algo que el usuario tiene (dispositivo, tarjeta
inteligente, etc.); Algo que caracteriza al usuario (biométrica) y; Algo que
determina su posición sobre la tierra (firma de ubicación, Cyberlocator).

Daltabuit Enrique, Hernandez, Mallén y Vasquez, La seguridad de la

información, Limusa, 2007, Balderas, Mexico.

CONTROL DE ACCESO

Mecanismos que controlan qué usuarios, roles o grupos de usuarios pueden

realizar qué cosas sobre los recursos del sistema operativo. Las listas de
control de acceso son una herramienta que permite controlar qué usuarios
pueden acceder a las distintas aplicaciones, sistemas, recursos, dispositivos,
etc.

Características

 Permite restringir y controlar el acceso sobre distintos recursos del sistema.

 Brinda seguridad a redes de datos al restringir y controlar el acceso desde
el punto de vista de la red
 Posibilidad de mejorar el rendimiento de la red limitando determinado
tráfico. Por ejemplo, se puede impedir que los empleados de una oficina
descarguen o visualicen ficheros de vídeo. Los ficheros de vídeo ocupan
mucho ancho de banda y pueden llegar a colapsar la red
 Posibilidad de permitir o denegar el acceso de equipos a ciertas zonas de la
red. Por ejemplo, los alumnos que utilizan el servidor que proporciona
servicios a su aula no deberían tener acceso al servidor de la secretaría del
centro o los empleados que trabajan en una zona de red (caracterizada por
un rango de direcciones IP) no deberían acceder a la zona de red donde
trabaja el personal de administración.
 Permiten que no se ejecuten determinados comandos por la red destinados
a fines malintencionados (instalación de troyanos, comandos de apagado,
etc.)

Controles de Seguridad

ACL en Sistemas Operativos: Windows distingue dos tipos de privilegios de

acceso: los Permisos que establecen la forma de acceder a un objeto concreto
y los Derechos que establecen qué acciones se pueden realizar en el sistema.
Para cada usuario que tiene acceso a un directorio o a un fichero existe una
entrada de acceso que indica el tipo de operaciones que puede realizar. Para
cada objeto (fichero, directorio, recurso) se establece una lista de usuarios y/o
grupos y a cada uno de ellos se les aplican los permisos pertinentes. En Linux
existe una máscara, o patrón de permisos por defecto, que se aplica en la
creación de los ficheros y directorios. Los permisos por defecto en la creación
de ficheros son 644 ( rw-r--r--), mientras que para los directorios es de 755
(rwxr-xr-x).

ACL en los Router: Se pueden establecer listas de control de acceso por

protocolo (se define una ACL para cada protocolo); por interfaz (se define una
ACL para cada interfaz del router) y; por dirección IP (se define una ACL para
restringir el tráfico por IP)

COPIAS DE SEGURIDAD

El concepto de seguridad en sistemas de almacenamiento engloba todas

aquellas características y medidas que permiten mantener la información
almacenada de forma segura frente a fallos físicos y lógicos, acceder a la
información en todo momento y protegerla de accesos no autorizados.

Una copia de seguridad (en inglés backup ) es una copia de la información que
se realiza como medida preventiva para el caso de que la información original
se pierda o se dañe.

Características

 Debe estar alineada con la política de seguridad de la organización.

 Permiten la recuperación de un sistema tras un fallo o una vulneración.
 Puede ser Completa, Incremental o Diferencial.
 Se realiza individualizada (equipo) o centralizada (servidor único)
 Diferentes opciones de hardware para su implementación (discos zip,
CD/DVD, cintas LTO, discos duros, sistemas RAID y NAS)

Controles de Seguridad

Política de backups

La política de backups es la definición de los diferentes aspectos de las copias

de seguridad, es necesario encontrar un compromiso marcando máximos en
los costes, y priorizando los backups de los recursos más críticos.

Cada plataforma tiene sus propias necesidades que se deben definir para
establecer la política, como: Diferenciar entre distintos entornos (preproducción,
desarrollo, test, producción, etc.); Determinar los costes de las posibles
pérdidas de datos; El tiempo que se tardaría en la recuperación; Valorar
los recursos disponibles (hardware, velocidad de la red, discos remotos, etc.) y
Analizar qué es imprescindible copiar y qué no.

Guardado y retención de backups

Un aspecto importante de seguridad a la hora de establecer una política de

backups es dónde se van a guardar las copias de seguridad. Cuando se
definen planes de prevención de riesgos en cuanto a tecnología se suele
considerar el vaulting para mitigar los efectos de un posible incidente en
el site donde se realizan los backups. Esta práctica consiste en mover a otra
localización periódicamente una copia completa de los datos, por ejemplo una
vez al mes, es habitual cuando el soporte físico es en cinta.

Esto es distinto del archiving, que consiste en mover datos antiguos que no se
están utilizando a una localización distinta. Un backup es siempre una copia,
mientras que el archiving consta de los datos originales que son trasladados
porque no se utilizan pero no se quieren eliminar definitivamente.

Restauración

El objetivo final de un backup es poder restaurarlo en caso de pérdida de los

datos. Por lo tanto, tener presente la restauración a la hora de definir una
política de backups o escoger una herramienta es clave. Para ello, es
importante haber decidido previamente (en la gestión de riesgos) el RTO
(Recovery Time Objective) tiempo máximo en el que se debe alcanzar un nivel
de servicio mínimo tras una caída del servicio (por ejemplo, debido a pérdida
de datos) para no causar consecuencias inaceptables en el negocioy; el RPO
(Recovery Point Objective) periodo de tiempo máximo en el que se pueden
perder datos de un servicio. Si el periodo de tiempo es de 6 horas, se deben
realizar backups cada menos tiempo y poder recuperar la información antes de
agotar el periodo.
Herramientas

Las herramientas nos permiten implementar la política de backup. Dada la

variedad de plataformas, se han creado muchísimas herramientas que actúan a
diferentes niveles. Algunos tipos de backups y herramientas son:

Sincronización: Este tipo de backup permite que dos directorios en

localizaciones distintas (en la misma máquina o en hosts separados) contengan
los mismos ficheros. Muchas de las herramientas que permiten la
sincronización se basan en rsync o en su librería.

Copias: El sistema básico de realizar backups es la copia de los ficheros a un

espacio aparte. En este caso, se pueden utilizar herramientas de un gran rango
de diversidad y complejidad, entre estas: Fwbackups, herramienta con una
interfaz simple pero con muchas opciones, permite programar backups a
distintos niveles; Bacula, herramienta muy completa que permite realizar
backups de varios niveles (total, diferencial, incremental), de distintos clientes
(linux, solaris, windows) y a diversos soportes (cinta y disco); Mondorescue
este software permite realizar backup de una instalación entera, y puede dejar
las copias en numerosos soportes físicos.

Bases de datos: Las bases de datos piden un trato especial. Guardar los
ficheros que contienen las bases de datos no suele ser un buen sistema de
backup, ya que una copia del fichero en un momento cualquiera puede generar
una base de datos inconsistente. Por ello, cada servidor (MySQL, PostgreSQL,
SQL Server, etc.) suele proporcionar un sistema de copias de seguridad, a
menudo basadas en volcados de datos en distintos formatos.

Snapshots: son “fotografías” del sistema o de una parte que permiten

recuperarlo en un estado que se sabe que es correcto. Los snapshots se
pueden realizar a distintos niveles (Sistema de ficheros, Volúmen de disco,
Máquinas virtuales y Ficheros).

Continuous Data Protection: consiste en guardar automáticamente una copia

de todos los cambios realizados en los datos, adquiriendo una copia remota de
todas las versiones. Esto permite realizar recuperación de los datos de
cualquier momento. Aunque hay sistemas optimizados para guardar
únicamente las diferencias y ocupar poco espacio en disco, este sistema tiene
penalizaciones en la red dada la continua transferencia de datos, como son:
AIMstor que permite definir fácilmente políticas mediante una interfaz gráfica y
soporta distintos tipos de backup, replicación y archiving; RecoverPoint que
soporta replicación remota de datos mediante protocolos síncronos y
asíncronos; y InMage DR-Scout que tiene un repositorio de capacidad
optimizada y soporta diversas plataformas (Windows, Linux, Solaris, etc.).
 Ferrer A, NOVIEMBRE 28, 2012, CAPSiDE. architects of the digital society,
https://www.capside.com, Backups 101: ¿Qué debemos tener en cuenta?
Políticas, retención, storage, restauración y herramientas.

SOFTWARE DE SEGURIDAD

Los software de seguridad deben ser implementados de forma que un sistema

operativo genere confianza y que no afecte la funcionalidad del sistema
operativo, por lo cual implementar antivirus, antispam, firewall de host y
herramientas que logren fortalecer el sistema operativo, son variables de
evaluación ya que estas protegen todo proceso antes o después de ser
interpretado por el sistema de forma que este logre con estas herramientas
determinar si puede ser vulnerado por usuarios externos o usuarios locales de
forma remota o de forma local.

Características

 Protege los ordenadores de los programas maliciosos, como virus y

malware.
 El software de seguridad se actualiza continuamente y para la mayoría de
los usuarios se realiza en segundo plano.

Controles de Seguridad

Actualizaciones

De forma continua aparecen fallos de seguridad que afectan a sistemas

operativos y aplicaciones, para resolver estas vulnerabilidades o posibles fallos
se debe actualizar de forma periódica el sistema.

Firewall de Host

Un firewall actúa como defensa de un equipo local contra virus, gusanos,

troyanos y ataques de fuerza bruta. Puede adoptar la forma de software (un
programa de seguridad) o de hardware (enrutador físico), pero en ambos casos
realiza la misma función: analiza el tráfico de red entrante para asegurarse de
que no contenga datos incluidos en una blacklist. Los firewalls analizan cada
"paquete" de datos (fragmentos pequeños de un conjunto más grande, de
tamaño reducido para facilitar su transmisión) a fin de garantizar que no
contenga ningún elemento malicioso.

Este análisis se realiza de varias maneras. En primer lugar, el firewall puede

analizar todas las solicitudes de acceso y el servicio solicitante para asegurarse
de que tengan un nombre de dominio y una dirección de Internet conocidos.
Los firewalls también pueden examinar completamente cada paquete de datos
entrantes en busca de cadenas de códigos incluidos en una blacklist. Por
último, los firewalls pueden analizar los paquetes en función de su similitud con
otros paquetes que han sido recientemente enviados y recibidos. Si los
paquetes están dentro de los niveles de similitud aceptables, son admitidos.

AO Kaspersky Lab, 2018, España, ¿Qué es un firewall?,

https://latam.kaspersky.com

Antivirus

Es un programa que está vigilando continuamente lo que ocurre en nuestra

máquina cualquier software que se intenta ejecutar, sea ejecutable (.exe) o
librería (.dll) para compararlo con su base de datos de virus y si lo encuentra
impide que se ejecute y avisa al usuario.

Antispam

No es ningún secreto que los cibercriminales usan el spam como un canal de

transmisión de malware: éstos suelen adjuntar archivos maliciosos junto al
mensaje enviado. El spam también puede contener enlaces a recursos web
maliciosos que sientan las bases para un ataque de phishing o que introducen
un código malicioso.

El antispam es lo que se conoce como método para prevenir el "correo basura".

Tanto los usuarios finales como los proveedores de servicios de correo
electrónico utilizan diversas técnicas contra ello. Algunas de estas técnicas han
sido incorporadas en productos, servicios y software para aliviar la carga que
cae sobre usuarios y administradores.