Embed Size (px)
Citation preview
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA
CURSO: AUDITORIA Y CONTROL DE TECNOLOGIA DE INFORMATICA
(SESION 11)
Profesor: Mg. Mario Huapaya Chumpitaz
INDICE
UNIDAD III: Tipos de Auditoria
1. Conceptos de Auditoria, Cumplimiento y Seguridad2. Modelo Tradicional de Gobernanza3. Modelo de Seguridad4. Preparándose para la Auditoria de Seguridad5. Auditoria de Seguridad de la Información6. COBIT 5 para la Seguridad de la Información7. Hallazgos – Seguridad de TI8. Recomendaciones – Seguridad de TI9. Caso practico
1. Concepto de Auditoria, Cumplimiento y Seguridad
Auditoría:Inspección y verificación formal para validar que unestándar o conjunto de lineamientos están siendoatendidos, que los registros son precisos, o que losobjetivos de eficiencia y eficacia están siendo alcanzados(Fuente: https://www.isaca.org/ )
1. Concepto de Auditoria, Cumplimiento y Seguridad
Cumplimiento:Adherirse a requerimientos mandatorios definidos por lasleyes y regulaciones, así como a requerimientos voluntariosresultado de obligaciones contractuales y políticas internas(Fuente: https://www.isaca.org/ )
1. Concepto de Auditoria, Cumplimiento y Seguridad
Seguridad de la Información:Asegurar que dentro de la organización, la información estáprotegida contra la divulgación de parte de usuarios noautorizados (confidencialidad), modificación no apropiada(integridad), y al no acceso cuando se requiera(disponibilidad) (Fuente: https://www.isaca.org/ )
1. Concepto de Auditoria, Cumplimiento y Seguridad
¿Qué es Auditoria de Sistemas?Se encarga de llevar a cabo la evaluaciónde normas, controles, técnicas yprocedimientos que se tienenestablecidos en una empresa, para lograrconfiabilidad, oportunidad, seguridad yconfidencialidad de la información quese procesa a través de los sistemas deinformación. La auditoría de sistemas esuna rama especializada de la auditoríaque promueve y aplica conceptos deauditoría en el área de sistemas deinformación.
1. Concepto de Auditoria, Cumplimiento y Seguridad
1. Concepto de Auditoria, Cumplimiento y Seguridad
Auditoría de Seguridad: ¿La auditoría de seguridad da certeza de la seguridad de
la información de una organización? ¿Cómo auditan la efectividad del programa y los
controles de la seguridad de la información?
2. Modelo Tradicional de Gobernanza
Comúnmente los modelos tradicionales pretenden maximizar lanavegación segura y efectiva satisfaciendo las siguientesnecesidades: Alineación estratégica Entrega de valor Administración de recursos Administración del riesgo Medición del desempeño Cumpliendo con los requerimientos regulatorios y
contractuales.
2. Modelo Tradicional de Gobernanza
El modelo tradicional de gobierno de TI integra la implementacióngeneralmente de varios marcos de trabajo líderes en mercado. Por ejemplopara ISACA:•COBIT•ISO27001•ITIL
Retos actuales Los mares actuales cada vez están más agitados y muchas
organizaciones, particularmente las infraestructurascríticas de información (ICI), requieren modelos deseguridad que enfrenten exitosamente los retos actuales.
Se requiere incorporar prácticas robustas en la estrategiade protección digital de las organizaciones para maximizarsu nivel de resiliencia.
3. Modelo de Seguridad
3. Modelo de Seguridad
A) Inteligencia de ciberamenazas (Cyber ThreatIntelligence)
Definición: Proceso de adquisición y análisis de información paraidentificar, rastrear, predecir y contrarrestar las capacidades,intenciones y actividades de adversarios (atacantes), y ofrecercursos de acción con base en el contexto particular de lasorganizaciones.
Se apoya de investigación en fuentes abiertas, monitoreo de “DeepWeb” y “Dark Web”, canales IRC, etc.
Beneficios:• Identificación de capacidades y técnicas de amenazas reales,
nuevas y existentes.• Búsqueda de posibles campañas actuales que se estén
orquestando.• Identificación de información que podría permitir la anticipación
a posibles ataques.• Información de otras organizaciones que han sido
comprometidas antes de ser publicada en la “Clear Web”.
3. Modelo de Seguridad
Tipos de Web Clear Web: todos los sitios web que pueden ser indexados
(encontrados) por buscadores “tradicionales” como Bing,Google o Yahoo. También se le conoce como: clearnet,indexedweb, indexableweb, lightnet, visible web.
Deep Web: toda aquella información en Internet que nopuede ser indexada por buscadores “tradicionales” comoBing, Google o Yahoo. Incluye bases de datos, intranets deorganizaciones, sitios web protegidos por contraseña, etc.
Dark Web: conjunto de sitios web que requieren el uso desoftware especializado para navegar de forma anónima paraser accedidos. El software más común utilizado para accedera la Dark Web es “The Onion Browser”, también conocidocomo TOR Browser.-
3. Modelo de Seguridad
3. Modelo de Seguridad
Riesgos de la “Dark Web” Un adversario podría planear y ejecutar ataques de gran impacto
para la organización si: Obtiene información sobre la organización, sus procesos,
procedimientos, personal, infraestructura, y/o tecnología. Descubre la identidad de quien navega la Dark Web utilizando
técnicas de inferencia.• Ej. analizando el “cómo” se dicen las cosas y no solo el
“qué”, los términos utilizados, horarios de conexión, o através de scripts que recolectan información del equipo decómputo desde donde se accede.
Logra comprometer los sistemas de los visitantes del sitio webde su propiedad.• Ej. A través de “scripts” maliciosos que se ejecutan al
momento de visitar el sitio web.
3. Modelo de Seguridad
Recomendaciones para navegar en la “Dark Web” Utilizar equipo “profesional” de buceo. Acceder utilizando una conexión a internet aislada y diferente de la
de la organización. Utilizar un equipo de cómputo y sistema operativo dedicados para
la navegación en la Dark Web. Amnesic Incognito Live System*.
Observar y no interactuar realizando transacciones o comentandoen los sitios web.
Evitar acciones que permitan a la terceros inferir la identidad delnavegante. Conectarse frecuentemente en ciertos horarios. Comentar sobre temas muy específicos de la organización o la
región de procedencia. No permitir la ejecución de “scripts” que recolectan información del
equipo de cómputo desde donde se accede. Validar la información recabada. No toda la información en la “Dark
Web” es confiable ni cierta.
3. Modelo de Seguridad
B) Cacería de ciberamenazas (Cyber Threat Hunting)
Definición: Intercepción, rastreo y eliminación activa yoportuna de ciberamenazas a lo largo de todo el procesodirigido que siguen los adversarios para conseguir susobjetivos maliciosos.
Centra su búsqueda en las amenazas que tienen la intención,la capacidad y la oportunidad de hacer daño y que ya estándentro de las redes y sistemas de la organización.
Beneficios:• Detección temprana de amenazas (por tanto menos
impacto a la organización).• Mejora de contramedidas automatizadas.• Permite mayor visibilidad y el descubrimiento de
debilidades en los sistemas.
3. Modelo de Seguridad
B) Cacería de ciberamenazas (Cyber Threat Hunting)Modelo de madurez para la cacería de ciberamenazas:
3. Modelo de Seguridad
C) Red Team Evaluación práctica de la seguridad de los sistemas a
través de la simulación realista de ataques simultáneosdirigidos al personal, los sistemas, el hardware y lasinstalaciones de una organización.
Además de utilizar metodologías comunes de EthicalHacking y/o Pentest, el equipo de seguridad (“RedTeam”) basa su evaluación en las tácticas, técnicas yprocedimientos que utilizan atacantes reales ensituaciones reales.
La “Dark Web” es una fuente valiosa para la búsqueda deexploits y herramientas de hackeo reales las cualespueden ser usados en el ejercicio del “Red Team”.
3. Modelo de Seguridad
Beneficios del “Red Team”
Identificación de vulnerabilidades informáticas yestimación del riesgo real asociado en sistemas críticos.
Provisión de información valiosa al proceso deinteligencia de ciberamenazas que permite potenciar elproceso de la cacería de ciberamenazas.
Validación de potenciales vulnerabilidades identificadasen el proceso de inteligencia de ciberamenazas.
Insumo necesario para la creación efectiva de “playbooks”.
3. Modelo de Seguridad
3. Modelo de Seguridad
Papel de los auditores internosRevisar el entorno de seguridad existente e identificar laefectividad de los controles internos. Desafortunadamente, losauditores de TI noveles se encontrarán con no pocas dificultades.Muchas empresas tienen cortafuegos y sistemas de detección deintrusiones (IDS) mal configurados, carencia de sistemas paradetectar no-conformidades con las políticas y procedimientos deTI, usan sistemas antivirus desactualizados y esperan demasiadotiempo para parchar los sistemas cuando se detectanvulnerabilidades.
4. Preparándose para la Auditoria de Seguridad
Antes de la AuditoriaLos auditores de TI principiantes deben aprender con qué contardurante un proceso de auditoría. Adicionalmente, deberíancomprender los mecanismos adecuados para identificar riesgos yvulnerabilidades de seguridad, evaluar la efectividad de lasmedidas de seguridad perimetral y trabajar con la alta direcciónde forma eficaz. Las cuestiones fundamentales que un auditorprincipiante debería tener en mente antes de comenzar unaauditoría de seguridad son la determinación de los riesgos yvulnerabilidades existentes, así como el nivel de buen gobierno yconformidad de las TI e la organización.
4. Preparándose para la Auditoria de Seguridad
Antes de la AuditoriaLos auditores tienen la tarea de revisar el entorno de seguridad deuna organización: Deberá evaluar los diferentes niveles de seguridad de todos los
activos de TI y cómo se protege cada uno de ellos Dar recomendaciones de cómo mejorar la seguridad de las TI
de la organización y certificar si existen controles internosadecuados para asegurar todos los activos de TI.
Deberían identificar las vulnerabilidades y riesgos de seguridadexistentes en colaboración con los miembros de la dirección deTI y la alta dirección.
4. Preparándose para la Auditoria de Seguridad
Antes de la AuditoriaEl buen gobierno de las TI se basa en procesos de alta calidad,bien definidos y repetibles, que tienen que estar adecuadamentedocumentados y comunicados, y requiere la participación ycompromiso de la gerencia y de los profesionales de TI yseguridad. Una forma de examinar si una empresa tiene unprograma eficaz de buen gobierno de las TI es comprobando quela gerencia ha establecido objetivos, políticas y procedimientosclaros y que la gestión de las TI está basada en el uso de marcosde actuación, herramientas o buenas prácticas eficaces.
4. Preparándose para la Auditoria de Seguridad
Identificando Riesgos y Vulnerabilidad de SeguridadEl auditor se encontrará con uno de los siguientes escenarios: Escenario 1: los controles de seguridad de las TI tratan
adecuadamente los riesgos y vulnerabilidades de activos de TI.Pueden ser necesarias leves modificaciones para incrementar laeficiencia de los controles existentes.
Escenario 2: el auditor se encuentra con una infraestructura deseguridad actual que no protege adecuadamente los activos de TIdebido a una mala configuración, monitorización o gestión. Elauditor tiene entonces que identificar los niveles de riesgo actuales,su posible impacto y proporcionar recomendaciones.
Escenario 3: la empresa carece de una verdadera infraestructura deseguridad. Por tanto, como cualquier recomendación seráimplementada por primera vez, la organización no tendrá lasensación de estar reinventando la rueda o gastando dineroadicional para rehacer controles ya establecidos.
4. Preparándose para la Auditoria de Seguridad
Plan de acción para el escenario 2:Los auditores pueden recomendar que el departamento de TI: Corra una herramienta de escaneo de vulnerabilidades en la red
desde fuera de la zona desmilitarizada (DMZ) del cortafuegos paraidentificar cualquier vulnerabilidad de seguridad.
Realice una evaluación de vulnerabilidades de red y remita elinforme a la gerencia. El informe debería explicar todas las amenazasde seguridad de las TI y sus impactos, así como exponer cualquierbrecha y debilidad de seguridad en la infraestructura de TI.
Si la organización no tiene los conocimientos para realizar un test devulnerabilidad, debería contratar a un experto o usar herramientas deescaneo para detectar cualquier vulnerabilidad del sistema. En cualquiercaso, el personal de TI que use dichas herramientas debe tener unprofundo conocimiento de cómo usarlas para obtener los mejoresresultados.
4. Preparándose para la Auditoria de Seguridad
Plan de acción para el escenario 3: Recomendar la realización de una evaluación de riesgos para
determinar el valor de los activos Recomendar que el departamento de TI instale herramientas de red
pasivas para demostrar la frecuencia de intentos de acceso remoto ysondeos externos.
Explicar a la alta dirección cómo pueden afectar las amenazas deseguridad a la reputación y estabilidad financiera de la organización.
Explicar las ramificaciones legales de una brecha de seguridaddebida a malos controles internos y las consecuencias de la noconformidad con leyes y regulaciones específicas relativas a datos.
Proporcionar a los ejecutivos información sobre las últimasestadísticas de cibercrimen y cómo éste ha afectado a organizacionessimilares
Hablar con la gerencia acerca de la posibilidad de amenazasinternas, enumerando los diferentes activos y sistemas de datos quepodrían verse afectados.
de TI
4. Preparándose para la Auditoria de Seguridad
5. Auditoria de Seguridad de Información
A. Modelo de SeguridadEmpresarial
Grafico : Modelo de SeguridadEmpresarialFuente: Revista Kaos Conceptual2008
B. Gobierno De Tecnología De La Información – TI
Grafico: gobierno corporativo TIFuente: ISACA- modelo COBIT
5. Auditoria de Seguridad de Información
C. Ciclo De La Seguridad
Conceptualmente la auditoria de sistemas en general y la deSeguridad en particular, ha de desarrollarse en seis fases biendiferenciadas: Fase 0. Causas de la realización del ciclo de seguridad. Fase 1. Análisis del ciclo de seguridad. Fase 2. Ponderación de sectores del ciclo de seguridad. Fase 3. Operativa del ciclo de seguridad. Fase 4. Cálculos y resultados del ciclo de seguridad. Fase 5. Confección del informe del ciclo de seguridad.
5. Auditoria de Seguridad de Información
D. Estándares De Seguridad De La InformaciónEn la actualidad muchas empresas han adoptado regulaciones yasea de carácter nacional o internacional que tienen impacto en lasorganizaciones sobre el uso y la seguridad de la información, espor ello que se debe medir el cumplimiento de las leyes,regulaciones, estándares u otra que le permita evaluar su sistemade seguridad de la información, entre los estándares másconocidos tenemos:ISO 17799 – Códigos De Buenas Prácticas De Seguridad De LaInformación se trabaja con la seguridad en 4 niveles:·Seguridad Lógica·Seguridad Física·Seguridad Organizativa·Seguridad Legal
5. Auditoria de Seguridad de Información
D. Estándares De Seguridad De La InformaciónFamilia de Normas ISO 27000
5. Auditoria de Seguridad de Información
D. Estándares De Seguridad De La InformaciónFamilia de Normas ISO 27000
5. Auditoria de Seguridad de Información
6. COBIT 5 para Seguridad de la Información
COBIT 5 toma como base el modelo relacional que utiliza BMIS(Business Model for Information Security), incorporando su visiónintegral y sus componentes a la nueva versión
6. COBIT 5 para Seguridad de la Información
Modelo de negocios para la Seguridad de la Información
Presenta un enfoque integral y orientado al negocio para la gestión de la seguridad de la información
Establece un lenguaje común para referirse a la protección de la información
Desafía la visión convencional de la inversión en seguridad de la información
Explica en forma detallada el modelo de negocio para gestionar la seguridad de la información, invitando a utilizar una perspectiva sistémica
Información (en inglés) disponible en: www.isaca.org/bmis
6. COBIT 5 para Seguridad de la Información
COBIT 5 Integra los componentes del BMIS
Varios de los componentes del BMIS han sido integrados al COBIT5, como habilitadores que interactúan y respaldan la gestión en laorganización para alcanzar sus objetivos de negocio y crear valor.
Estos componentes son:
Organización
Procesos
Personas
Factores Humanos
Tecnología
Cultura
Habilitación y soporte
Gobierno
Arquitectura
“Emergence”
6. COBIT 5 para Seguridad de la Información
6. COBIT 5 para Seguridad de la Información
Se proyecta como una guía específica para los profesionalesde la Seguridad de la Información y otros interesados
Se construye sobre el marco del COBIT 5, un enfoquerobusto para el gobierno y la gestión de la seguridad de lainformación, sobre la base de los procesos de negocios de laorganización
Presentará una visión extendida del COBIT 5 , que explicacada uno de sus componentes desde la perspectiva de laseguridad
Creará valor para todos los interesados a través deexplicaciones, actividades, procesos y recomendaciones
Propondrá una visión del gobierno y la gestión de laseguridad de la información mediante una guía detalladapara establecerla, implementarla y mantenerla, como partede las políticas, procesos y estructuras de la organización.
6. COBIT 5 para Seguridad de la Información
Principales contenidos: Directrices sobre los principales drivers y beneficios de la
seguridad de la información para la organización Aplicación de los principios de COBIT 5 por parte de los
profesionales de la seguridad de la información Mecanismos e instrumentos para respaldar el gobierno y
la gestión de la seguridad de la información en laorganización
Alineamiento con otros estándares de seguridad de lainformación
6. COBIT 5 para Seguridad de la Información
7. Hallazgos - Seguridad de TI
CONDICION EFECTO
Falta de un responsable de seguridadpara el cumplimiento de lomecanismos de control, acciones deseguridad y administración deriesgos, entre otros
Ausencia de la función para vigilar laintegridad, confidencialidad ydisponibilidad de la información
Usuarios con acceso ilimitado a losaplicativos y bases de datosprincipales sin los controlespertinentes
Se pueden ejecutar transacciones noautorizadas sin dejar rastros
CONDICION EFECTO
Carencia de políticas de seguridad -institucionales, así como denormativas para su aplicación entodas las unidades y órganos de lasentidades
Las estrategias de seguridad sonheterogéneas y en algunos casos secontraponen
La administración de contraseñastiene deficiencias como sesionesduplicadas, permite múltiplesintentos fallidos, claves simples yrepetitivas
El acceso a los aplicativos seencuentra en riesgo de accesos noautorizados
7. Hallazgos - Seguridad de TI
CONDICION EFECTO
Carencia o deficiencias en laimplementación del Sistema deGestión de Seguridad de laInformación (SGSI)
Pérdida de la confidencialidad de lainformación, falta de integridad delos datos, carencia de disponibilidadde las aplicaciones y falta de “norepudio” de las transacciones paradeslindar responsabilidades
Se carece de recertificación periódicade usuarios y sus privilegios en losaplicativos sustantivos
Transacciones no autorizadas deacuerdo al rol del funcionario, asícomo ataques por parte deempleados dados de baja
7. Hallazgos - Seguridad de TI
CONDICION EFECTO
Carencia del análisis de riesgos paraevaluar su impacto sobre losservicios de la Institución, paraobtener planes de remediación ydefinir los controles Requeridos
Alto riesgo de materialización de lasamenazas
Deficiencias en la gestión deincidentes que impide laidentificación de los problemas conmayor Frecuencia
Se obstaculiza la prevención deriesgos, así como los mecanismos derespuesta para mitigarlos.
7. Hallazgos - Seguridad de TI
CONDICION EFECTO
Las pistas de auditoría y las bitácorasde los sistemas sustantivos no estánactivadas para su revisión periódica
No se detectan oportunamente losmovimientos irregulares o cambiosno autorizados
Los proveedores tienen accesoilimitado a los aplicativos y bases dedatos principales de la institución,sin la supervisión adecuada por partede las entidades
Se pueden ejecutar transacciones noautorizadas sin dejar rastros queponen en riesgo los activos yprocesos de las Instituciones
Carencia del análisis de Segregaciónde Funciones en las actividades delas áreas de TIC y en los procesos deNegocio
No se detectan las actividades conposibilidad de fraude, irregularidadesen los procesos o manipulación delos reportes financieros
7. Hallazgos - Seguridad de TI
8. Recomendaciones - Seguridad de TI
Restringir el acceso a la infraestructura tecnológica de acuerdo con elprincipio de “privilegio mínimo”, y garantizar que los administradoresy los empleados sólo tengan los accesos y privilegios suficientes
La alta dirección debe asegurarse de que el equipo de seguridad de lainformación obtenga un grado de visibilidad amplio respecto a todaslas funciones de la entidad, mediante el reconocimiento de laimportancia fundamental y prioritaria de la gestión de la seguridadpara la organización
La prioridad del equipo de seguridad de la información es identificarlas áreas de bajo y alto riesgo en la organización. Los marcos deriesgo deben alinearse estrechamente con la gestión organizacional ylos proyectos en marcha
Identificar y comprender las vulnerabilidades del entorno de laSeguridad, tanto humanas como técnicas
Entender la causa y efecto de los riesgos para determinar elimpacto que representan para la infraestructura tecnológica
Aplicar los resultados del análisis de riesgos para determinarlos activos que deben ser tratados primero y para cualespuede permitirse absorber el riesgo asociado a ellos
Enfocar la gobernanza de TI, la seguridad y las inversiones enprivacidad en las áreas que más contribuyen al cumplimientode la misión de la entidad
Conozca los datos de la organización, comprenda los datos queposee y qué está en riesgo.
8. Recomendaciones - Seguridad de TI
9. Caso Practico
Muchas [email protected]
