LA CONFIANZA Y EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

Curso de Apoyo a la Preparación del

Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN

PROFESIONAL

PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013

Marcia L. Maggiore, CISA, CRISC

Especialista en Seguridad Informática (UBA)

Capítulo V - 1

© Copyright 2013 ISACA. Todos los derechos reservados.

LA CONFIANZA Y EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

ISACA®

1


CAPÍTULO 5 – PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN

Curso de Preparación CISA 2013

2



PROFESIONAL




Capítulo V - 2


Agenda del curso

• Objetivos de aprendizaje

• Discutir tareas y declaraciones de conocimiento

• Discutir temas específicos incluidos en el capítulo

• Casos de estudio

• Preguntas ejemplo

3


Relevancia del Examen

Asegurar que el Candidato CISA…

Comprende y puede asegurar que las políticas de seguridad, los estándares,

los procedimientos y los controles de la organización garantizan la

confidencialidad, la integridad y la disponibilidad de los activos de

información.

El contenido de este capítulo

representa aproximadamente

el 30% del examen CISA

(aproximadamente 60 preguntas).

4

Capítulo 1

14%

Capítulo 2

14%Capítulo

319%

Capítulo 4

23%

Capítulo 5

30%

% del Total de Preguntas del

Examen



PROFESIONAL




Capítulo V - 3


Protección de los Activos de Información

Definición del Dominio:

Proveer aseguramiento que las políticas de seguridad, los estándares, los procedimientos y los controles de la organización garantizan la confidencialidad, la integridad y la disponibilidad de los activos de información.

5


Objetivos de aprendizaje

• Abordar los componentes clave que aseguran la confidencialidad, integridad y disponibilidad de los activos de información.

• Explicar el diseño, la implementación y el monitoreo de los controles de acceso lógico y físico.

• Cubrir la seguridad de infraestructura de red, los controles ambientales y los procesos y procedimientos que se utilizan para clasificar, introducir, almacenar, recuperar, transportar y desechar los activos de información confidencial.

• Describir los métodos y procedimientos que emplean las organizaciones, centrándose en el rol del auditor al evaluar la idoneidad y efectividad de estos procedimientos.

6



PROFESIONAL




Capítulo V - 4


Dominio 5 Enunciados de las Tareas

7

Este dominio contiene cinco tareas que el candidato CISA debe saber cómo ejecutar: T5.1 Evaluar las políticas, los estándares y los procedimientos de seguridad

de la información para determinar su completitud y alineación con las prácticas generalmente aceptadas.

T5.2 Evaluar el diseño, la implementación y el monitoreo de los controles del sistema y de seguridad lógica para verificar la confidencialidad, la integridad y la disponibilidad de la información.

T5.3 Evaluar el diseño, la implementación y el monitoreo de los procesos y procedimientos de clasificación de datos para determinar si están alineados con las políticas, los estándares y los procedimientos de la organización así como con los requerimientos externos aplicables.


Dominio 5 Enunciados de las Tareas

8

T5.4 Evaluar el diseño, la implementación y el monitoreo de los controles de acceso físico y ambiental para determinar si los activos de información están adecuadamente protegidos.

T5.5 Evaluar los procesos y los procedimientos utilizados para almacenar, recuperar, transportar y desechar activos de información (por ejemplo soportes de backup, almacenamiento externo, copia impresa y soportes de copia electrónica) para determinar si los activos de información están adecuadamente protegidos.



PROFESIONAL




Capítulo V - 5


Hay 21 conocimientos relacionados dentro del dominio de protección de los activos de información:

CR5.1 Conocimiento de técnicas para el diseño, la implementación y el monitoreo de controles de seguridad, incluyendo programas de concientización de la seguridad

CR5.2 Conocimiento de procesos relacionados con el monitoreo y la respuesta a incidentes de seguridad (por ejemplo, procedimientos de escalamiento, equipo de respuesta a incidentes)

CR5.3 Conocimiento de los controles de acceso lógico para la identificación, autenticación y restricción de usuarios a funciones y datos autorizados

9

Dominio 5 Conocimientos Relacionados


CR5.4 Conocimiento de controles de seguridad relacionados con hardware, software del sistema (por ejemplo aplicaciones, sistemas operativos) y sistemas de gestión de bases de datos

CR5.5 Conocimiento de los riesgos y controles asociados con la virtualización de sistemas

CR5.6 Conocimiento de la configuración, la implementación, las operaciones y el mantenimiento de los controles de seguridad de la red

CR5.7 Conocimiento de dispositivos, protocolos y técnicas de seguridad de la red y de Internet

CR5.8 Conocimiento de métodos y técnicas de ataques a los sistemas de información

10




PROFESIONAL




Capítulo V - 6


CR5.9 Conocimiento de herramientas de detección y técnicas de control (por ejemplo software malicioso [malware], detección de virus, software espía [spyware])

CR5.10 Conocimiento de técnicas de pruebas de seguridad (por ejemplo pruebas de intrusión, exploración de vulnerabilidades)

CR5.11 Conocimiento de riesgos y controles asociados con la fuga de datos

CR5.12 Conocimiento de técnicas relacionadas con la encripción

CR5.13 Conocimiento de componentes de infraestructura de clave pública (PKI) y técnicas de firma digital

11



CR5.14 Conocimiento de riesgos y controles asociados con la computación peer-to-peer, mensajería instantánea y tecnologías basadas en web (por ejemplo redes sociales, tableros de mensajes, blogs)

CR5.15 Conocimiento de controles y riesgos asociados con el uso de dispositivos móviles e inalámbricos

CR5.16 Conocimiento de seguridad en comunicaciones de voz (por ejemplo PBX, VoIP)

CR5.17 Conocimiento de técnicas y procesos de preservación de evidencias utilizados en investigaciones forenses

CR5.18 Conocimiento de estándares de clasificación de datos y procedimientos de soporte

CR5.19 Conocimiento de los controles de acceso físico para la identificación, autenticación y restricción de usuarios a instalaciones autorizadas

12




PROFESIONAL




Capítulo V - 7


CR5.20 Conocimiento de dispositivos de protección ambiental y prácticas de soporte

CR5.21 Conocimiento de los procesos y procedimientos utilizados para almacenar, recuperar, transportar y desechar los activos de información confidencial

13



5.2 Importancia de la Gestión de la Seguridad de la Información

Los objetivos de seguridad para satisfacer los requerimientos del negocio incluyen los siguientes:

• Asegurar la continua disponibilidad de sus sistemas de información

• Asegurar la integridad de la información en sus sistemas informáticos (almacenada y en tránsito)

• Preservar la confidencialidad de los datos sensibles almacenados y en tránsito

• Asegurar el cumplimiento de las leyes, regulaciones y estándares aplicables

• Asegurar el cumplimiento de los requerimientos de confiabilidad y de las obligaciones en relación a cualquier información relativa a un individuo identificado o identificable (sujeto de datos)

14



PROFESIONAL




Capítulo V - 8


5.2.1 Elementos clave de la Gestión de la Seguridad de la

Información

• Elementos clave en la gestión de seguridad de la información

– Compromiso y soporte de la alta gerencia

– Políticas y Procedimientos

– Cultura organizacional

– Concientización en Seguridad

– Monitoreo y cumplimiento

– Tratamiento y respuesta a incidentes

15


5.2.2 Roles y Responsabilidades de la Gestión de la Seguridad

de la Información

• Comité de Dirección de Seguridad de la Información

• Dirección ejecutiva

• Grupo de asesoría en seguridad

• Director de privacidad (CPO)

• Director de seguridad de la información (CISO)

• Propietarios de procesos

• Propietarios de los activos de información y propietarios de los datos

• Usuarios

• Terceras partes

• Administrador de seguridad

• Especialistas/asesores de seguridad

• Desarrolladores de TI

• Auditores de SI

Las Responsabilidades a considerar en la gestión incluyen:

16



PROFESIONAL




Capítulo V - 9


5.2.3 Inventario y Clasificación de los Activos

de Información

El registro del inventario de cada activo de información debe incluir:

• Identificación específica del activo

• Valor relativo para la organización

• Ubicación

• Clasificación de seguridad / riesgo

• Grupo al que pertenece el activo

• Propietario

• Custodio designado

17


5.2.3 Inventario y Clasificación de los Activos de

Información El propietario de la información es responsable de ella y debe decidir la clasificación adecuada. Para ello debe existir una política de clasificación y gestión de datos de la organización.

Es posible clasificar el grado de sensibilidad, criticidad, teniendo en cuenta los requerimientos legales cuando existieren, y también sobre las condiciones de seguridad: CID.

Se suele ver la clasificación en Información Pública, Privada y Secreta/Confidencial. Esta clasificación tiene que ver con la confidencialidad y podemos encontrar un buen ejemplo en el Modelo de Política de Seguridad de la Información de la Oficina Nacional de Tecnologías de Información (ONTI)

18



PROFESIONAL




Capítulo V - 10



Información La clasificación de los datos como una medida de control debe definir:

• La importancia del activo de información

• El propietario de los activos de información

• El proceso para otorgar acceso

• La persona responsable de aprobar los derechos de acceso y los niveles de acceso

• El grado y profundidad de los controles de seguridad

19


CONTROLES PROTECCIÓN

CONFIDENCIAL

RESTRINGIDA SUFICIENTE

ESTRICTO

MÍNIMO

DIRECTORES

EMPLEADOS

COMUNIDAD PUBLICA

USUARIOS INFORMACIÓN

QUIÉN? QUÉ?

PROPIETARIOS DE DATOS

CÓMO?

TÉCNICO EN SEGURIDAD


Información



PROFESIONAL




Capítulo V - 11


21

Serie ISO/IEC 27000

ISO/IEC 27002


22

ISO/IEC 27002 – Gestión de Activos

7.1. Responsabilidad por los activos

Objetivo – Alcanzar y mantener una adecuada protección de los activos de la

organización.

7.1.1. Inventario de activos – Se recomienda que se identifiquen

claramente todos los activos y que se realice y mantenga un inventario de los activos más importantes.

7.1.2. Propiedad de los activos – Se recomienda que toda la información y

los activos asociados con las instalaciones de procesamiento de la información sean de propiedad de una parte designada de la organización.

7.1.3. Uso aceptable de los activos - Se recomienda que se identifiquen,

documenten e implementen reglas para el uso aceptable de la información y de los activos asociados con las instalaciones de procesamiento de la información.



PROFESIONAL




Capítulo V - 12


23


7.2. Clasificación de la información

Objetivo – Garantizar que la información reciba un apropiado nivel de

protección.

7.2.1. Directrices para la clasificación – Es conveniente que la

información se encuentre clasificada en términos de su valor, requerimientos legales, sensibilidad y la criticidad para la organización.

7.2.2. Rotulado y manejo de la información – Se recomienda que se

desarrolle e implemente un apropiado conjunto de procedimientos para rotular y manipular la información, en concordancia con el esquema de clasificación adoptado por la organización.


24

ISO/IEC 20000

Fuente: http://www.muycomputerpro.com/2011/07/04/informe-mundial-evolucion-iso-20000/

http://www.muycomputerpro.com/2011/07/04/informe-mundial-evolucion-iso-20000/











PROFESIONAL




Capítulo V - 13


9.1 Gestión de la configuración

Objetivo - Definir y controlar los componentes del servicio y de la infraestructura, y

mantener información precisa sobre la configuración.

ISO/IEC 20000-2 (Código de Prácticas) representa el conjunto de buenas prácticas adoptadas y aceptadas por la industria en materia de Gestión de Servicio de TI, basada en el estándar de facto ITIL.

La Gestión de Activos se trata en ITIL v3 en el proceso Gestión de la Configuración y Activos TI. Una de sus funciones es: Llevar el control de todos los elementos de configuración de la infraestructura TI con el adecuado nivel de detalle y

gestionar dicha información a través de la Base de Datos de Configuración (CMDB).

Fuente: http://itilv3.osiatis.es/itil.php - http://itilv3.osiatis.es/transicion_servicios_TI/gestion_configuracion_activos_servicio.php

25



5.2.4 Permisos de Acceso al Sistema

Permisos de Acceso al Sistema

Quién tiene

derechos de

acceso y a qué?

Cuál es el nivel de

acceso a ser

otorgado?

Quién es

responsable de

determinar los

derechos de

acceso y niveles de

acceso?

Qué aprobaciones

son necesarias

para el acceso?

26

Habilitan el uso de un recurso informático (lógico) y/o un área física restringida. Deben establecerse controles para una adecuada gestión.

http://itilv3.osiatis.es/itil.php

http://itilv3.osiatis.es/transicion_servicios_TI/gestion_configuracion_activos_servicio.php



PROFESIONAL




Capítulo V - 14


El acceso físico o lógico a la información debe basarse en una necesidad de acceso documentada, donde haya un legítimo requerimiento del negocio, y en los principios de la necesidad de saber, menor privilegio y segregación de funciones.

El gerente dueño de la información, que es responsable del uso preciso y del reporte, debe proveer una autorización escrita para que los usuarios tengan acceso a los recursos de información bajo su control. La implementación técnica será realizada por los administradores de seguridad.

Deben ser realizadas revisiones periódicas de autorización de accesos.

Especial cuidado con los terceros - empleados contratados, personal de mantenimiento, limpieza, proveedores, clientes, etc.

27

5.2.4 Permisos de Acceso al Sistema


5.2.5 Controles de Acceso Obligatorios y Discrecionales

• Obligatorios

– Hacen cumplir la política corporativa de seguridad

– Comparan la sensibilidad de los recursos de la información

• Discrecionales

– Hacen cumplir la definición del propietario de los datos para compartir recursos de información

28



PROFESIONAL




Capítulo V - 15


5.2.6 Asuntos de Administración de la Privacidad

y el Rol de los Auditores de SI

Las evaluaciones o análisis de impacto de la Privacidad deben:

• Señalar la naturaleza de la información personal identificable asociada con procesos del negocio

• Documentar la recolección, uso, revelación y destrucción de información personal identificable

• Asegurar que existe la obligación de rendir cuentas sobre los aspectos de privacidad

• Ser la base para tomar decisiones informadas sobre políticas, operaciones y diseño de sistemas basadas en un entendimiento del riesgo de privacidad y las opciones disponibles para mitigar ese riesgo

29


5.2.6 Asuntos de Administración de la Privacidad y el Rol de los

Auditores de SI Cumplimiento con políticas y leyes de privacidad

• Identificar y entender los requerimientos legales relacionados con privacidad en leyes, regulaciones y acuerdos contractuales

• Verificar si los datos personales son correctamente administrados de acuerdo con esos requerimientos

• Verificar que se adopten correctas medidas de seguridad

• Revisar la política de privacidad de la gerencia para determinar que toma en consideración el requerimiento de las leyes y regulaciones de privacidad aplicables

30



PROFESIONAL




Capítulo V - 16


5.2.7 Factores Críticos de Éxito para la Gestión de Seguridad de

la Información

• Fuerte compromiso y soporte de la alta gerencia para el entrenamiento en seguridad

• Un enfoque profesional basado en riesgos debe ser usado sistemáticamente para identificar recursos críticos y sensibles

31


5.2.8 Seguridad de la Información y Terceros

32

Condiciones de contratación con terceros recomendada



PROFESIONAL




Capítulo V - 17



33


34




PROFESIONAL




Capítulo V - 18


35



5.2.9 Seguridad de los Recursos Humanos y Terceros

36

• Solicitud de antecedentes

• Términos y condiciones de empleo

• Responsabilidad durante el empleo

• Terminación o cambio de empleo

• Retiro de los derechos de acceso.



PROFESIONAL




Capítulo V - 19


5.2.10 Problemas y Exposiciones del Crimen

Informático Es una amenaza que está creciendo.

• Mueve mucho dinero.

• Puede ser usado para robar dinero, mercancías, software o información corporativa. Incluye robo de equipos y manipulación de aplicaciones para introducir transacciones no autorizadas.

• Relativa facilidad de ejecución / conveniencia

• Se puede efectuar a través de acceso remoto que dificulta los procesos de investigación y persecución legal. Varios países involucrados.

37


El impacto al negocio incluye:

• Pérdida financiera (costos directos) - Aumento de los costos operativos indirectos (para medidas preventivas, detectivas y correctivas)

• Repercusiones legales

• Pérdida de credibilidad o ventaja competitiva

• Chantaje/espionaje industrial

• Sabotaje

Se debe tener en claro si se constituye un delito ya que en ese caso existen requerimientos específicos (evidencia, cadena de custodia, denuncia, etc.)

38


Informático



PROFESIONAL




Capítulo V - 20


Los que perpetran crímenes informáticos son

• Hackers, crackers, phreakers

• Organizaciones de crimen informático

• Script kiddies

• Empleados (incluyendo personal de TI y usuarios finales así como personal a tiempo parcial y temporal)

• Terceros

• Ex empleados

• Personas externas interesadas (competidores, terroristas, activistas, etc.)

• Ignorantes accidentales 39


Informático


Los objetivos son

• Las computadoras

• La(s) organización(es) que utiliza(n) la computadora (o dispositivo móvil)

• Datos

• Usuarios

Métodos y técnicas de ataque más comunes (lo veremos más

adelante)

40


Informático



PROFESIONAL




Capítulo V - 21


Los siguientes son objetivos usuales, dada la facilidad de acceso y ausencia de trazabilidad:

• Computación entre semejantes

• Mensajería instantánea

• Redes sociales

41


Informático


5.2.11 Tratamiento y Respuesta a Incidentes de Seguridad

Planificación y preparación

Detección

Iniciación

Registro

Evaluación

Contención

Erradicación

Escalamiento

Respuesta

Recuperación

Cierre

Presentación de información

Revisión posterior al incidente

Lecciones aprendidas

42



PROFESIONAL




Capítulo V - 22



43

Definición de roles y responsabilidades clave. Por ej.: • Un coordinador que actúa como el enlace con los dueños del

proceso de negocio

• Un director que supervisa la capacidad de respuesta a incidentes

• Gerentes que gestionan los incidentes individuales

• Especialistas en seguridad que detectan, investigan, contienen y recuperan de los incidentes

• Especialistas técnicos que no sean de seguridad que proporcionen asistencia basada en su experiencia y conocimiento del asunto

• Enlaces con los jefes de otras unidades de negocios (legales, recursos humanos, relaciones públicas, etc.)



44

Idealmente debería existir un CSIRT (Computer Security Incident Response Team) o un CERT (Computer Emergency Response Team).

Actúan como control de detección y corrección. Se puede considerar un control preventivo su participación en ejercicios y talleres. Es importante la difusión de alertas.

El CSIRT debe actuar como un punto único de contacto par todos los incidentes y problemas relacionados con la seguridad de la información.

Debe existir plan y proceso de gestión de incidentes.



PROFESIONAL




Capítulo V - 23



45

La ISO publicó la ISO/IEC 27035:2011: Estándar para la Gestión de Incidentes de Seguridad de la Información cuyo objetivo consiste en:

• Detectar, informar y evaluar los incidentes de seguridad de información;

• Responder a incidentes y gestionar incidentes de seguridad de la información;

• Detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,

• Mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.


5.3 Acceso lógico

Los controles de acceso lógico son el primer medio usado para administrar y proteger los activos de información.

Son los que permiten implementar los permisos de acceso que vimos previamente.

Uno de los riesgos que intentan mitigar son las exposiciones “técnicas” de acceso lógico. (Las

veremos más adelante)

46



PROFESIONAL




Capítulo V - 24


5.3.2 Familiarización con

el Ambiente TI de la

Organización

Para que los auditores de SI determinen efectivamente los controles de acceso lógico dentro de su organización, necesitan llegar a entender el ambiente de TI de una organización. El propósito de esto es determinar qué áreas desde un punto de vista del riesgo requieren la atención de la auditoría de SI al planificar el trabajo presente y futuro. Esto incluye revisar todos los niveles de seguridad asociados con la arquitectura de los sistemas de información de TI.

47


5.3.2 Familiarización con el

Ambiente TI de la

Organización



PROFESIONAL




Capítulo V - 25


5.3.3 Las vías de Acceso Lógico

Puntos generales de entrada

• Conectividad de la red

• Acceso remoto

• Consola de operador

• Terminales o estaciones en línea

Cualquier punto de entrada no controlado o inadecua-damente controlado puede generar riesgos respecto de información sensible y crítica.

49


5.3.4 Software de Control de Acceso Lógico

50

Propósito

Prevenir el acceso y la modificación no autorizados a los datos valiosos de una organización y el uso de las funciones críticas del sistema.

Para lograr este nivel de control, es necesario aplicar controles de acceso en todos los niveles de la arquitectura de los sistemas de información de una organización. Cada uno de ellos incluyen por lo general alguna forma de identificación y de autenticación, autorización de acceso, verificación de recursos específicos de información, y registro y reporte de las actividades del usuario.

El mayor grado de protección al aplicar el software de control de acceso está en los niveles de red y plataforma/sistema operativo. Estos sistemas son referidos como sistemas de soporte general, y constituyen la infraestructura primaria sobre la que residirán las aplicaciones y sistemas de base de datos.



PROFESIONAL




Capítulo V - 26


• Crear o cambiar los perfiles de usuarios

• Asignar identificación y autenticación de usuarios

• Aplicar reglas de limitación de inicio de sesión (logon) para usuarios

• Notificación respecto al uso y acceso apropiado antes del login inicial

• Crear responsabilidad y auditabilidad individuales mediante actividades de registro de usuarios

• Establecer reglas de accesos a recursos específicos de información (por ejemplo, recursos y datos de aplicación a nivel del sistema)

• Registrar eventos

• Capacidades de generación de reportes

Las funciones generales de control de acceso de los sistemas operativos y/o de aplicación incluyen:

51



• Crear o cambiar los archivos de datos y los perfiles de la base de datos

• Verificar las autorizaciones de usuarios al nivel de aplicación y de transacción

• Verificar las autorizaciones de usuarios dentro de la aplicación

• Verificar las autorizaciones de usuarios a nivel del campo para los cambios dentro de una base de datos

• Verificar las autorizaciones de subsistemas para el usuario a nivel del archivo

• Registrar las actividades de acceso a base de datos/comunicaciones de datos para monitorear las violaciones de acceso

Las funciones de control de acceso a nivel de la base de datos y/o de aplicación incluyen:

52




PROFESIONAL




Capítulo V - 27


1 ID del Usuario=

Contraseña=

“Logueo” del usuario

Solicitar una función o recurso

Actualización

del archivo de

nómina

3

2 Verificar ID y

contraseña

de logueo

4 Controlar las

actividades

de logueo y

autorización

de recursos

del usuario

Computadora

Software de Control de Acceso

Perfil del

Usuario

Descripción

de Recursos

(incluye lista

de accceso

de usuario)

Registros de

actividad y

violaciones

5 Generar y revisar

informes sobre

actividades y

violaciones

(seguimientos y

comunicaciones

en línea)



5.3.5 Identificación y Autenticación

Mediante el software de control de acceso, establecer y probar la identidad de alguien, a través de la obtención del identificador de usuario, las credenciales necesarias para autenticarlo y su validación.

Vulnerabilidades comunes

• Métodos débiles de autenticación

• Falta de confidencialidad e integridad de la información de autenticación almacenada

• Carencia de encripción para la autenticación y protección de la información transmitida por la red

• Carencia de conocimiento del usuario sobre los riesgos asociados con compartir contraseñas, tokens, etc.

Autenticación multifactorial. 54



PROFESIONAL




Capítulo V - 28



Identificación y autenticación difieren en:

• Su significado. El identificador brinda, obviamente, la identidad del usuario mientras que la autenticación asegura que es quien dice ser (por conocer/poseer el componente secreto)

• Métodos, periféricos y técnicas que los soportan

• Requerimientos en términos de secreto y gestión

• Atributos – La autenticación no tiene atributos en si misma, mientras que una identidad puede tener una validez definida en el tiempo y otra información adjunta a la misma.

• La identidad por lo general no cambia, mientras que los “tokens” de autenticación deben ser reemplazados.

55


Identificador de Inicio de Sesión (Logon ID) y Contraseña. El software de control de acceso mantiene una base de identificadores, contraseñas y reglas de acceso válidos. Éstas están relacionadas con recursos del sistema operativo, objetos y aplicaciones. El identificador (ID) de inicio de sesión debe ser individual.

Características de las Contraseñas

• Fácil de recordar pero difícil de adivinar.

• Cifradas. En el primer inicio de sesión se debe forzar el cambio de contraseña.

• Comunicación controlada

• Varios intentos erróneos de ingreso, revocar.

• Cambio en frecuencia dada.

• Tratamiento especial en cuentas administradoras

56




PROFESIONAL




Capítulo V - 29


Mejores prácticas de identificación y autenticación

• Regla interna confidencial para sintaxis de ID

• Cuentas por defecto (Ej.: Admin) deben ser renombradas

• Dar de baja los ID que no han sido usados durante un tiempo prefijado

• Desconectar las sesiones iniciadas, después de un tiempo de falta de uso.

• Reglas de sintaxis (formato) de las Contraseñas incluyen:

– Longitud mayor a 8 caracteres

– Combinación de, al menos, tres de las siguientes características: alfabéticos, numéricos, en mayúscula, minúscula y especiales.

– No deben guardar relación con datos del usuario (nombres de familiares, fechas de cumpleaños)

57



Dispositivos de Token (Token Devices), Contraseñas de

Una Sola Vez - Tarjeta inteligente o llave USB.

Biométricos - El mejor medio par autenticar la identidad de un

usuario basándose en un atributo o rasgo único medible.

El desempeño se determina por False-Rejection Rate (FFR o tasa de error Tipo I), una medida global de Tipo I es el Failure to Enroll Rate (Fer). También existe el False- Acceptance Rate (FAR o tasa de error Tipo II). Otra medición general es el Equal Error Rate (ERR). Cuanto más baja es la medida general, más efectivo es el biométrico.

58




PROFESIONAL




Capítulo V - 30


Biométricos

• Orientado a características Físicas (por orden de efectividad)

– Palma

– Geometría de la mano

– Iris

– Retina

– Huella dactilar

– Rostro

• Orientado a características de Comportamiento

– Reconocimiento de firma

– Reconocimiento de voz 59



Gestión de la Biometría - Se debe ocupar de:

• Integridad, autenticidad y no repudio de datos

• Gestión de datos biométricos en todo su ciclo de vida, constituido por los procesos de adquisición de la muestra biométrica, transmisión, almacenamiento, verificación, identificación y baja. Técnicas de seguridad y protección de integridad y privacidad.

• Uso de tecnología biométrica que incluya comparaciones uno a uno y uno a muchos para la identificación y autenticación de usuarios

• Aplicación de tecnología biométrica en la seguridad interna y externa, así como también en el control de acceso físico y lógico.

• Encapsulamiento de datos biométricos

• Seguridad del hardware usado en el ciclo de vida.

60




PROFESIONAL




Capítulo V - 31


Single sign-on (SSO)

• Es el proceso para consolidar todas las funciones de administración, autenticación y autorización basadas en la plataforma de la organización en una sola función administrativa centralizada.

• Single sign-on hace interfaz con:

– Cliente-servidor y sistemas distribuidos

– Sistemas Mainframe

– Seguridad de la red, incluyendo mecanismos de acceso remoto

61



Ventajas de Single sign-on (SSO) • No se requieren ya contraseñas múltiples, por lo cual un

usuario puede estar más inclinado y motivado para seleccionar una contraseña más fuerte

• Mejora la capacidad de un administrador para gestionar las cuentas y autorizaciones de los usuarios para todos los sistemas asociados

• Reduce los costos administrativos de volver a establecer (resetear) contraseñas olvidadas en múltiples plataformas y aplicaciones

• Reduce el tiempo que le lleva a los usuarios para conectarse con múltiples aplicaciones y plataformas

62




PROFESIONAL




Capítulo V - 32


Desventajas de Single sign-on (SSO)

• El soporte para todos los principales entornos /ambientes de sistema operativo es difícil.

• Los costos asociados con el desarrollo de SSO pueden ser significativos cuando se considera la naturaleza y el grado de desarrollo y mantenimiento de interfaz que puede ser necesario

• La naturaleza centralizada de SSO presenta la posibilidad de un punto único de falla y peligro total para los activos de información de una organización

63



Preguntas de Práctica

5-2 ¿Cuál de lo siguiente provee MEJOR control de acceso a los datos del sistema de pagos que se está procesando en un servidor local?

A. Registrar el acceso a la información personal

B. Usar contraseñas separadas para las transacciones sensibles

C. Usar software que restrinja las reglas de acceso al personal autorizado

D. Restringir el acceso al sistema a las horas laborables

64



PROFESIONAL




Capítulo V - 33



5-4 Una organización está proponiendo instalar una facilidad de single sign-on que da acceso a todos los sistemas. La organización debe estar consicente de que:

A. Un acceso no autorizado total sería posible si se revelara una contraseña

B. Los derechos de acceso serían restringidos por los parámetros adicionales de seguridad

C. La carga de trabajo del administrador de seguridad aumentaría

D. Los derechos de acceso de usuario aumentarían

65


5.3.6 Aspectos Relacionados

con la Autorización

Las reglas de autorización de control de acceso especifican quién puede tener acceso a qué. Deben basarse en el menor privilegio, necesidad documentada de saber y segregación de funciones.

Restricciones de acceso al nivel de archivos incluyen:

• Leer, consultar o copiar solamente

• Escribir, crear, actualizar o eliminar solamente

• Ejecutar solamente

• Una combinación de lo anterior 66



PROFESIONAL




Capítulo V - 34




Listas de control de acceso (ACLs) - se refieren al registro

de:

• Usuarios (grupos, máquinas, procesos) que tienen permiso para usar un recurso particular de sistema

• Los tipos de acceso permitidos

Cuanta mayor granularidad, mayor control y mayor requerimientos de gestión. Estas listas deben ser actualizadas frente a los cambios de funciones o de locación o de nivel que registran los usuarios.

67


Administración de seguridad de acceso lógico – centralizada y descentralizada

Ventajas de administrar la seguridad en forma descentralizada

• La administración de seguridad está instalada localmente

• Los problemas de seguridad son resueltos más rápidamente

• Los controles de seguridad son monitoreados más frecuentemente

Algunos riesgos asociados a la administración descentralizada son:

• Implementación de criterios locales en vez de los estándares de la organización

• Los niveles de seguridad podrían estar por debajo de los que se mantienen en la administración central

• Falta de verificaciones gerenciales y auditorías

68





PROFESIONAL




Capítulo V - 35


Seguridad de acceso remoto

Las organizaciones de hoy día requieren conectividad de acceso remoto a sus recursos de información para diferentes tipos de usuarios tales como empleados, proveedores, consultores, socios de negocio y representantes de clientes.

• Software de emulación de terminales

• Protocolo TCP/IP

• VPN

Métodos comunes de conectividad

• ISDN – NAS

• DIAL – UP

• Conexiones dedicadas de red 69




Los riesgos de acceso remoto incluyen:

• Denegación de servicio

• Terceros malintencionados

• Software de comunicaciones mal configurado

• Dispositivos mal configurados en la infraestructura informática corporativa

• Sistemas anfitriones (host) no asegurados debidamente

• Problemas de seguridad física en computadoras de usuarios remotos

70





PROFESIONAL




Capítulo V - 36


Los controles de seguridad para acceso remoto incluyen:

• Política y estándares

• Autorizaciones apropiadas

• Mecanismos de identificación y autenticación

• Herramientas y técnicas de cifrado, como por ejemplo el uso de VPN

• Administración de sistemas y de redes

71




Acceso remoto usando dispositivos de mano (en general móviles (Ej.: PDAs - Personal Digital Assistants)

Abordar problemas de control (Ej. Fáciles de robar o perder, conexión insegura como las redes wireless, BYOD). Asociar a política de seguridad específica, que incluya:

• Borrado y bloqueo remoto

• Rastreo por geolocalización

• Autenticación, autorización y responsabilidad en la red

• Respaldo remoto seguro

• Política de uso aceptable 72





PROFESIONAL




Capítulo V - 37


• Cumplimiento

• Aprobación

• Aplicaciones PDA estándar

• Debido cuidado

• Cursos de concienciación

• Aplicaciones para PDA

• Sincronización

• Cifrado

• Detección y control de virus

• Registro de dispositivos

• Uso de cámaras fotográficas 73




Problemas de acceso con tecnología móvil

• Estos dispositivos deben ser estrictamente controlados tanto por política como por negación de uso. Las posibles acciones incluyen:

– Prohibir todo uso de drives portátiles en la política de seguridad.

– Cuando existen puertos de USB no autorizados que se estén usando, deshabilitar el uso con un logon script que los elimine del directorio de sistema.

– Si se consideran necesarios para el uso del negocio, encriptar / cifrar todos los datos transportados o almacenados por estos dispositivos.

74





PROFESIONAL




Capítulo V - 38


Registros de auditoría en el monitoreo de los accesos al sistema

• Provee a la gerencia un rastro de auditoría para monitorear actividades de naturaleza sospechosa, como el caso de un hacker intentando ataques de

fuerza bruta a un ID privilegiado

75




Derechos de acceso a los registros (logs) del sistema

• Acceso con fines de revisión

• Protección de integridad y confidencialidad (en caso que contenga datos reservados)

• Se requiere revisión periódica

Herramientas para el análisis de pistas de auditoría (logs)

• Herramientas de reducción de auditoría

• Herramientas de detección de tendencias /varianzas

• Herramientas de detección de firma de ataque 76





PROFESIONAL




Capítulo V - 39


Consideración de Costos

Puede ocurrir sobrecarga del sistema al grabar, almacenar logs. La revisión manual es casi imposible. Podrían requerirse herramientas tecnológicas. Frecuencia de revisión en consonancia con valor de la información. Sumar el costo de investigación.

El auditor debe buscar patrones o tendencias y violaciones. Una vez que la violación ha sido identificada:

• Informar al administrador de seguridad

• Investigar y determinar la gravedad de la violación

• Según la gravedad debe ser notificada a la Dirección Ejecutiva, policía, etc.

• Procedimientos de gestión de relaciones públicas

• Directrices escritas para su tratamiento

• Acciones disciplinarias

• Medidas correctivas




Nomenclatura de perfiles para los controles de acceso

lógico

Las funcionalidades de acceso son implementadas por la administración de seguridad mediante un conjunto de reglas de acceso que estipula cuáles usuarios (o grupos de usuarios) están autorizados a tener acceso a un recurso.

Las convenciones de nomenclatura son estructuras usadas para dirigir el acceso de los usuarios al sistema y la autoridad que tiene el usuario para acceder y usar los recursos.

Se requieren para mantener el registro personal de tareas (accountability) y la segregación de funciones





PROFESIONAL




Capítulo V - 40



5-5 ¿Un auditor de SI que revisa el registro de intentos de conexión (logon) fallidos estaría MÁS preocupado de cuál de las siguientes cuentas fuera tomada como objetivo?

A. Administrador de red

B. Administrador del sistema

C. Administrador de datos

D. Administrador de base de datos

79


5.3.7 Almacenar, Recuperar, Transportar y Desechar Información

Confidencial Procedimientos para prevenir el acceso o la pérdida de información sensible.

• Archivos de respaldo de bases de datos

• Bancos de datos

• Desecho de medios usados anteriormente para mantener información confidencial

• Administración de equipos enviados fuera para mantenimiento

• Agencias y organizaciones públicas preocupadas por la información sensitiva, crítica o confidencial

• Llaves electrónicas de E-token

• Registros de almacenamiento

80



PROFESIONAL




Capítulo V - 41


Preservación de la Información Durante el Envío o Almacenamiento

Recomendaciones aplicables a todo tipo de medios

• Mantener fuera de la luz directa del sol

• Mantener libre de líquidos

• Mantener libre de polvo

• Mantener los medios lejos de exposición a campos magnéticos, equipos de radio o cualquier fuente de vibración

• No transportar en las áreas y a las horas de exposición a fuerte tormenta magnética

81


Confidencial


Almacenamiento de

medios Precauciones

Unidades de disco

duro

Guarde las unidades de disco duro en bolsas anti estáticas y asegúrese

que la persona que las retira de la bolsa está libre de estática.

Si conserva la caja y el material de embalaje original de la unidad de disco

duro, úselo cuando necesite transportar el disco.

Evite los materiales de embalaje de espuma de poliestireno u otros

materiales que puedan causar electricidad estática.

Las alteraciones súbitas de temperatura son peligrosas, porque estos

cambios pueden provocar el colapso de los discos duros.

Si la unidad de disco duro ha estado a muy baja temperatura, debe llevarse

a la temperatura de la habitación antes de instalarlo y usarlo.

Evite golpes y vibraciones mecánicas súbitas.

Cartuchos de cinta

magnética

Almacene las cintas en posición vertical.

Almacene las cintas en estuches protectores para transportarlas.

Proteger de inmediato todas las cintas contra escritura.

Unidades USB y dis-

cos duros portátiles

Evitar temperaturas y humedad extremas y los campos magnéticos fuertes

CDs y DVDs Manipule estos medios tomándolos por los bordes o por el orificio central.

Evite doblar los CD.

Evite la exposición prolongada a la luz intensa.

Guárdelos en estuches duros, no en fundas blandas. 82


Confidencial



PROFESIONAL




Capítulo V - 42


5.7.1 Problemas y Exposiciones Ambientales

Fallas de energía:

• Falla total (apagón)

• Voltaje severamente reducido (caída de voltaje)

• Caídas, picos y sobrevoltajes

• Interferencia electromagnética (EMI)

83


5.7.2 Controles para las Exposiciones Ambientales

• Panel de Control de Alarmas

• Detectores de Agua

• Extintores Manuales de Incendios

• Alarmas Manuales de Incendios

• Detectores de Humo

• Sistemas de Supresión de Incendios

• Ubicación Estratégica de la Sala de Computadoras

• Inspección regular del departamento de bomberos

84



PROFESIONAL




Capítulo V - 43


5.7.2 Controles para las Exposiciones Ambientales

• Paredes, Pisos y Cielorrasos a Prueba de Incendios • Protectores de Voltaje • Suministro /Generador de Energía Eléctrica Ininterrumpida

(UPS) • Conmutador de Energía de Emergencia • Líneas de Energía Provenientes de Dos Subestaciones • Cableado Colocado en los Paneles Eléctricos y Conductos • Actividades Inhibidas Dentro del Centro de Procesamiento de

Información • Materiales de Oficina Resistentes al Fuego • Planes Documentados y Probados de Evacuación de

Emergencia

85


5.8.1 Problemas y Exposiciones de Acceso Físico

• Entrada no autorizada

• Daño, vandalismo o robo de los equipos o documentos

• Copia o visualización de información sensitiva o patentada

• Alteración de equipos e información sensitiva

• Revelación al público de información sensitiva

• Abuso de los recursos de procesamiento de datos

• Chantaje

• Fraude

86



PROFESIONAL




Capítulo V - 44


5.8.1 Problemas y Exposiciones de Acceso Físico

Posibles perpetradores son empleados:

• Descontentos

• Huelga

• Amenazados con una acción disciplinaria o con despido

• Adictos a una sustancia o al juego

• Están experimentando problemas financieros o emocionales

• Se les haya notificado su despido

87


5.8.2 Controles de Acceso Físico

• Puertas con cerrojo

• Cerraduras con claves (cipher locks)

• Cerraduras electrónicas

• Cerraduras biométricas

• Registro manual

• Registro electrónico

88



PROFESIONAL




Capítulo V - 45



• Tarjetas de identificación (IDs fotográficas)

• Cámaras de video

• Guardias de seguridad

• Acceso controlado de visitantes

• Personal afianzado

• Puertas esclusa

89



• No publicitar la ubicación de las áreas sensitivas

• Bloqueo de las terminales de computadoras

• Punto único de entrada controlado

• Sistema de alarma

• Seguridad en el transporte y distribución de documentos (mensajería)

• Ventanas

90



PROFESIONAL




Capítulo V - 46


5.8.3 Auditoría al Acceso Físico

• Recorrido de las instalaciones. Analizar controles sobre empleados, visitantes, proveedores.

• Recorrer el Centro de Procesamiento de Información/Centro de Procesamiento de datos (Information Processing Facility – IPF/Data Center)

• Recorrer áreas de almacenamiento de medios, estaciones de impresión.

• Recorrer los depósitos de equipamiento, salas de reparación y/o actualización

• Recorrer depósitos de papel y suministros.

91


5.8.3 Auditoría al Acceso Físico

• Verificar que existan pruebas de seguridad física:

– Simulacro de evacuación de emergencia

– Inspecciones recientes sobre elementos de prevención y detección de incendios

– UPS/Generador

– Instalación de almacenamiento externo de copias de respaldo

• Evaluar vías de entrada:

– Todas las puertas de entrada

– Puertas de salida de emergencia

– Ventanas y paredes de vidrio

– Paredes movibles y cubículos modulares

– Pisos y techos falsos

– Sistemas de ventilación 92



PROFESIONAL




Capítulo V - 47


5.9 Dispositivos de Computación Móvil

Controles para la reducción del riesgo de revelación de información:

• Grabar o marcar un número de serie, nombre, logo de la compañía

• Usar un sistema de bloqueo de cable o con detector de movimiento

• Resguardar los datos periódicamente

• Cifrado de datos

• Uso de contraseñas en archivos individuales

• Establecer equipo de respuesta al robo.

El auditor deberá verificar estas condiciones y además los procesos de actualización de parches de seguridad, la política de seguridad.

93

Documents

LA CONFIANZA Y EL VALOR DE LOS SISTEMAS DE INFORMACIÓN