Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 1
© Copyright 2013 ISACA. Todos los derechos reservados.
LA CONFIANZA Y EL VALOR DE LOS SISTEMAS DE INFORMACIÓN
ISACA®
1
© Copyright 2013 ISACA. Todos los derechos reservados.
CAPÍTULO 5 – PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN
Curso de Preparación CISA 2013
2
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 2
© Copyright 2013 ISACA. Todos los derechos reservados.
Agenda del curso
• Objetivos de aprendizaje
• Discutir tareas y declaraciones de conocimiento
• Discutir temas específicos incluidos en el capítulo
• Casos de estudio
• Preguntas ejemplo
3
© Copyright 2013 ISACA. Todos los derechos reservados.
Relevancia del Examen
Asegurar que el Candidato CISA…
Comprende y puede asegurar que las políticas de seguridad, los estándares,
los procedimientos y los controles de la organización garantizan la
confidencialidad, la integridad y la disponibilidad de los activos de
información.
El contenido de este capítulo
representa aproximadamente
el 30% del examen CISA
(aproximadamente 60 preguntas).
4
Capítulo 1
14%
Capítulo 2
14%Capítulo
319%
Capítulo 4
23%
Capítulo 5
30%
% del Total de Preguntas del
Examen
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 3
© Copyright 2013 ISACA. Todos los derechos reservados.
Protección de los Activos de Información
Definición del Dominio:
Proveer aseguramiento que las políticas de seguridad, los estándares, los procedimientos y los controles de la organización garantizan la confidencialidad, la integridad y la disponibilidad de los activos de información.
5
© Copyright 2013 ISACA. Todos los derechos reservados.
Objetivos de aprendizaje
• Abordar los componentes clave que aseguran la confidencialidad, integridad y disponibilidad de los activos de información.
• Explicar el diseño, la implementación y el monitoreo de los controles de acceso lógico y físico.
• Cubrir la seguridad de infraestructura de red, los controles ambientales y los procesos y procedimientos que se utilizan para clasificar, introducir, almacenar, recuperar, transportar y desechar los activos de información confidencial.
• Describir los métodos y procedimientos que emplean las organizaciones, centrándose en el rol del auditor al evaluar la idoneidad y efectividad de estos procedimientos.
6
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 4
© Copyright 2013 ISACA. Todos los derechos reservados.
Dominio 5 Enunciados de las Tareas
7
Este dominio contiene cinco tareas que el candidato CISA debe saber cómo ejecutar: T5.1 Evaluar las políticas, los estándares y los procedimientos de seguridad
de la información para determinar su completitud y alineación con las prácticas generalmente aceptadas.
T5.2 Evaluar el diseño, la implementación y el monitoreo de los controles del sistema y de seguridad lógica para verificar la confidencialidad, la integridad y la disponibilidad de la información.
T5.3 Evaluar el diseño, la implementación y el monitoreo de los procesos y procedimientos de clasificación de datos para determinar si están alineados con las políticas, los estándares y los procedimientos de la organización así como con los requerimientos externos aplicables.
© Copyright 2013 ISACA. Todos los derechos reservados.
Dominio 5 Enunciados de las Tareas
8
T5.4 Evaluar el diseño, la implementación y el monitoreo de los controles de acceso físico y ambiental para determinar si los activos de información están adecuadamente protegidos.
T5.5 Evaluar los procesos y los procedimientos utilizados para almacenar, recuperar, transportar y desechar activos de información (por ejemplo soportes de backup, almacenamiento externo, copia impresa y soportes de copia electrónica) para determinar si los activos de información están adecuadamente protegidos.
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 5
© Copyright 2013 ISACA. Todos los derechos reservados.
Hay 21 conocimientos relacionados dentro del dominio de protección de los activos de información:
CR5.1 Conocimiento de técnicas para el diseño, la implementación y el monitoreo de controles de seguridad, incluyendo programas de concientización de la seguridad
CR5.2 Conocimiento de procesos relacionados con el monitoreo y la respuesta a incidentes de seguridad (por ejemplo, procedimientos de escalamiento, equipo de respuesta a incidentes)
CR5.3 Conocimiento de los controles de acceso lógico para la identificación, autenticación y restricción de usuarios a funciones y datos autorizados
9
Dominio 5 Conocimientos Relacionados
© Copyright 2013 ISACA. Todos los derechos reservados.
CR5.4 Conocimiento de controles de seguridad relacionados con hardware, software del sistema (por ejemplo aplicaciones, sistemas operativos) y sistemas de gestión de bases de datos
CR5.5 Conocimiento de los riesgos y controles asociados con la virtualización de sistemas
CR5.6 Conocimiento de la configuración, la implementación, las operaciones y el mantenimiento de los controles de seguridad de la red
CR5.7 Conocimiento de dispositivos, protocolos y técnicas de seguridad de la red y de Internet
CR5.8 Conocimiento de métodos y técnicas de ataques a los sistemas de información
10
Dominio 5 Conocimientos Relacionados
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 6
© Copyright 2013 ISACA. Todos los derechos reservados.
CR5.9 Conocimiento de herramientas de detección y técnicas de control (por ejemplo software malicioso [malware], detección de virus, software espía [spyware])
CR5.10 Conocimiento de técnicas de pruebas de seguridad (por ejemplo pruebas de intrusión, exploración de vulnerabilidades)
CR5.11 Conocimiento de riesgos y controles asociados con la fuga de datos
CR5.12 Conocimiento de técnicas relacionadas con la encripción
CR5.13 Conocimiento de componentes de infraestructura de clave pública (PKI) y técnicas de firma digital
11
Dominio 5 Conocimientos Relacionados
© Copyright 2013 ISACA. Todos los derechos reservados.
CR5.14 Conocimiento de riesgos y controles asociados con la computación peer-to-peer, mensajería instantánea y tecnologías basadas en web (por ejemplo redes sociales, tableros de mensajes, blogs)
CR5.15 Conocimiento de controles y riesgos asociados con el uso de dispositivos móviles e inalámbricos
CR5.16 Conocimiento de seguridad en comunicaciones de voz (por ejemplo PBX, VoIP)
CR5.17 Conocimiento de técnicas y procesos de preservación de evidencias utilizados en investigaciones forenses
CR5.18 Conocimiento de estándares de clasificación de datos y procedimientos de soporte
CR5.19 Conocimiento de los controles de acceso físico para la identificación, autenticación y restricción de usuarios a instalaciones autorizadas
12
Dominio 5 Conocimientos Relacionados
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 7
© Copyright 2013 ISACA. Todos los derechos reservados.
CR5.20 Conocimiento de dispositivos de protección ambiental y prácticas de soporte
CR5.21 Conocimiento de los procesos y procedimientos utilizados para almacenar, recuperar, transportar y desechar los activos de información confidencial
13
Dominio 5 Conocimientos Relacionados
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2 Importancia de la Gestión de la Seguridad de la Información
Los objetivos de seguridad para satisfacer los requerimientos del negocio incluyen los siguientes:
• Asegurar la continua disponibilidad de sus sistemas de información
• Asegurar la integridad de la información en sus sistemas informáticos (almacenada y en tránsito)
• Preservar la confidencialidad de los datos sensibles almacenados y en tránsito
• Asegurar el cumplimiento de las leyes, regulaciones y estándares aplicables
• Asegurar el cumplimiento de los requerimientos de confiabilidad y de las obligaciones en relación a cualquier información relativa a un individuo identificado o identificable (sujeto de datos)
14
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 8
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.1 Elementos clave de la Gestión de la Seguridad de la
Información
• Elementos clave en la gestión de seguridad de la información
– Compromiso y soporte de la alta gerencia
– Políticas y Procedimientos
– Cultura organizacional
– Concientización en Seguridad
– Monitoreo y cumplimiento
– Tratamiento y respuesta a incidentes
15
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.2 Roles y Responsabilidades de la Gestión de la Seguridad
de la Información
• Comité de Dirección de Seguridad de la Información
• Dirección ejecutiva
• Grupo de asesoría en seguridad
• Director de privacidad (CPO)
• Director de seguridad de la información (CISO)
• Propietarios de procesos
• Propietarios de los activos de información y propietarios de los datos
• Usuarios
• Terceras partes
• Administrador de seguridad
• Especialistas/asesores de seguridad
• Desarrolladores de TI
• Auditores de SI
Las Responsabilidades a considerar en la gestión incluyen:
16
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 9
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.3 Inventario y Clasificación de los Activos
de Información
El registro del inventario de cada activo de información debe incluir:
• Identificación específica del activo
• Valor relativo para la organización
• Ubicación
• Clasificación de seguridad / riesgo
• Grupo al que pertenece el activo
• Propietario
• Custodio designado
17
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.3 Inventario y Clasificación de los Activos de
Información El propietario de la información es responsable de ella y debe decidir la clasificación adecuada. Para ello debe existir una política de clasificación y gestión de datos de la organización.
Es posible clasificar el grado de sensibilidad, criticidad, teniendo en cuenta los requerimientos legales cuando existieren, y también sobre las condiciones de seguridad: CID.
Se suele ver la clasificación en Información Pública, Privada y Secreta/Confidencial. Esta clasificación tiene que ver con la confidencialidad y podemos encontrar un buen ejemplo en el Modelo de Política de Seguridad de la Información de la Oficina Nacional de Tecnologías de Información (ONTI)
18
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 10
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.3 Inventario y Clasificación de los Activos de
Información La clasificación de los datos como una medida de control debe definir:
• La importancia del activo de información
• El propietario de los activos de información
• El proceso para otorgar acceso
• La persona responsable de aprobar los derechos de acceso y los niveles de acceso
• El grado y profundidad de los controles de seguridad
19
© Copyright 2013 ISACA. Todos los derechos reservados.
CONTROLES PROTECCIÓN
CONFIDENCIAL
RESTRINGIDA SUFICIENTE
ESTRICTO
MÍNIMO
DIRECTORES
EMPLEADOS
COMUNIDAD PUBLICA
USUARIOS INFORMACIÓN
QUIÉN? QUÉ?
PROPIETARIOS DE DATOS
CÓMO?
TÉCNICO EN SEGURIDAD
5.2.3 Inventario y Clasificación de los Activos de
Información
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 11
© Copyright 2013 ISACA. Todos los derechos reservados.
21
Serie ISO/IEC 27000
ISO/IEC 27002
© Copyright 2013 ISACA. Todos los derechos reservados.
22
ISO/IEC 27002 – Gestión de Activos
7.1. Responsabilidad por los activos
Objetivo – Alcanzar y mantener una adecuada protección de los activos de la
organización.
7.1.1. Inventario de activos – Se recomienda que se identifiquen
claramente todos los activos y que se realice y mantenga un inventario de los activos más importantes.
7.1.2. Propiedad de los activos – Se recomienda que toda la información y
los activos asociados con las instalaciones de procesamiento de la información sean de propiedad de una parte designada de la organización.
7.1.3. Uso aceptable de los activos - Se recomienda que se identifiquen,
documenten e implementen reglas para el uso aceptable de la información y de los activos asociados con las instalaciones de procesamiento de la información.
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 12
© Copyright 2013 ISACA. Todos los derechos reservados.
23
ISO/IEC 27002 – Gestión de Activos
7.2. Clasificación de la información
Objetivo – Garantizar que la información reciba un apropiado nivel de
protección.
7.2.1. Directrices para la clasificación – Es conveniente que la
información se encuentre clasificada en términos de su valor, requerimientos legales, sensibilidad y la criticidad para la organización.
7.2.2. Rotulado y manejo de la información – Se recomienda que se
desarrolle e implemente un apropiado conjunto de procedimientos para rotular y manipular la información, en concordancia con el esquema de clasificación adoptado por la organización.
© Copyright 2013 ISACA. Todos los derechos reservados.
24
ISO/IEC 20000
Fuente: http://www.muycomputerpro.com/2011/07/04/informe-mundial-evolucion-iso-20000/
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 13
© Copyright 2013 ISACA. Todos los derechos reservados.
9.1 Gestión de la configuración
Objetivo - Definir y controlar los componentes del servicio y de la infraestructura, y
mantener información precisa sobre la configuración.
ISO/IEC 20000-2 (Código de Prácticas) representa el conjunto de buenas prácticas adoptadas y aceptadas por la industria en materia de Gestión de Servicio de TI, basada en el estándar de facto ITIL.
La Gestión de Activos se trata en ITIL v3 en el proceso Gestión de la Configuración y Activos TI. Una de sus funciones es: Llevar el control de todos los elementos de configuración de la infraestructura TI con el adecuado nivel de detalle y
gestionar dicha información a través de la Base de Datos de Configuración (CMDB).
Fuente: http://itilv3.osiatis.es/itil.php - http://itilv3.osiatis.es/transicion_servicios_TI/gestion_configuracion_activos_servicio.php
25
ISO/IEC 20000 – Gestión de Activos
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.4 Permisos de Acceso al Sistema
Permisos de Acceso al Sistema
Quién tiene
derechos de
acceso y a qué?
Cuál es el nivel de
acceso a ser
otorgado?
Quién es
responsable de
determinar los
derechos de
acceso y niveles de
acceso?
Qué aprobaciones
son necesarias
para el acceso?
26
Habilitan el uso de un recurso informático (lógico) y/o un área física restringida. Deben establecerse controles para una adecuada gestión.
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 14
© Copyright 2013 ISACA. Todos los derechos reservados.
El acceso físico o lógico a la información debe basarse en una necesidad de acceso documentada, donde haya un legítimo requerimiento del negocio, y en los principios de la necesidad de saber, menor privilegio y segregación de funciones.
El gerente dueño de la información, que es responsable del uso preciso y del reporte, debe proveer una autorización escrita para que los usuarios tengan acceso a los recursos de información bajo su control. La implementación técnica será realizada por los administradores de seguridad.
Deben ser realizadas revisiones periódicas de autorización de accesos.
Especial cuidado con los terceros - empleados contratados, personal de mantenimiento, limpieza, proveedores, clientes, etc.
27
5.2.4 Permisos de Acceso al Sistema
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.5 Controles de Acceso Obligatorios y Discrecionales
• Obligatorios
– Hacen cumplir la política corporativa de seguridad
– Comparan la sensibilidad de los recursos de la información
• Discrecionales
– Hacen cumplir la definición del propietario de los datos para compartir recursos de información
28
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 15
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.6 Asuntos de Administración de la Privacidad
y el Rol de los Auditores de SI
Las evaluaciones o análisis de impacto de la Privacidad deben:
• Señalar la naturaleza de la información personal identificable asociada con procesos del negocio
• Documentar la recolección, uso, revelación y destrucción de información personal identificable
• Asegurar que existe la obligación de rendir cuentas sobre los aspectos de privacidad
• Ser la base para tomar decisiones informadas sobre políticas, operaciones y diseño de sistemas basadas en un entendimiento del riesgo de privacidad y las opciones disponibles para mitigar ese riesgo
29
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.6 Asuntos de Administración de la Privacidad y el Rol de los
Auditores de SI Cumplimiento con políticas y leyes de privacidad
• Identificar y entender los requerimientos legales relacionados con privacidad en leyes, regulaciones y acuerdos contractuales
• Verificar si los datos personales son correctamente administrados de acuerdo con esos requerimientos
• Verificar que se adopten correctas medidas de seguridad
• Revisar la política de privacidad de la gerencia para determinar que toma en consideración el requerimiento de las leyes y regulaciones de privacidad aplicables
30
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 16
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.7 Factores Críticos de Éxito para la Gestión de Seguridad de
la Información
• Fuerte compromiso y soporte de la alta gerencia para el entrenamiento en seguridad
• Un enfoque profesional basado en riesgos debe ser usado sistemáticamente para identificar recursos críticos y sensibles
31
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.8 Seguridad de la Información y Terceros
32
Condiciones de contratación con terceros recomendada
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 17
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.8 Seguridad de la Información y Terceros
33
© Copyright 2013 ISACA. Todos los derechos reservados.
34
5.2.8 Seguridad de la Información y Terceros
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 18
© Copyright 2013 ISACA. Todos los derechos reservados.
35
5.2.8 Seguridad de la Información y Terceros
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.9 Seguridad de los Recursos Humanos y Terceros
36
• Solicitud de antecedentes
• Términos y condiciones de empleo
• Responsabilidad durante el empleo
• Terminación o cambio de empleo
• Retiro de los derechos de acceso.
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 19
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.10 Problemas y Exposiciones del Crimen
Informático Es una amenaza que está creciendo.
• Mueve mucho dinero.
• Puede ser usado para robar dinero, mercancías, software o información corporativa. Incluye robo de equipos y manipulación de aplicaciones para introducir transacciones no autorizadas.
• Relativa facilidad de ejecución / conveniencia
• Se puede efectuar a través de acceso remoto que dificulta los procesos de investigación y persecución legal. Varios países involucrados.
37
© Copyright 2013 ISACA. Todos los derechos reservados.
El impacto al negocio incluye:
• Pérdida financiera (costos directos) - Aumento de los costos operativos indirectos (para medidas preventivas, detectivas y correctivas)
• Repercusiones legales
• Pérdida de credibilidad o ventaja competitiva
• Chantaje/espionaje industrial
• Sabotaje
Se debe tener en claro si se constituye un delito ya que en ese caso existen requerimientos específicos (evidencia, cadena de custodia, denuncia, etc.)
38
5.2.10 Problemas y Exposiciones del Crimen
Informático
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 20
© Copyright 2013 ISACA. Todos los derechos reservados.
Los que perpetran crímenes informáticos son
• Hackers, crackers, phreakers
• Organizaciones de crimen informático
• Script kiddies
• Empleados (incluyendo personal de TI y usuarios finales así como personal a tiempo parcial y temporal)
• Terceros
• Ex empleados
• Personas externas interesadas (competidores, terroristas, activistas, etc.)
• Ignorantes accidentales 39
5.2.10 Problemas y Exposiciones del Crimen
Informático
© Copyright 2013 ISACA. Todos los derechos reservados.
Los objetivos son
• Las computadoras
• La(s) organización(es) que utiliza(n) la computadora (o dispositivo móvil)
• Datos
• Usuarios
Métodos y técnicas de ataque más comunes (lo veremos más
adelante)
40
5.2.10 Problemas y Exposiciones del Crimen
Informático
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 21
© Copyright 2013 ISACA. Todos los derechos reservados.
Los siguientes son objetivos usuales, dada la facilidad de acceso y ausencia de trazabilidad:
• Computación entre semejantes
• Mensajería instantánea
• Redes sociales
41
5.2.10 Problemas y Exposiciones del Crimen
Informático
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.11 Tratamiento y Respuesta a Incidentes de Seguridad
Planificación y preparación
Detección
Iniciación
Registro
Evaluación
Contención
Erradicación
Escalamiento
Respuesta
Recuperación
Cierre
Presentación de información
Revisión posterior al incidente
Lecciones aprendidas
42
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 22
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.11 Tratamiento y Respuesta a Incidentes de Seguridad
43
Definición de roles y responsabilidades clave. Por ej.: • Un coordinador que actúa como el enlace con los dueños del
proceso de negocio
• Un director que supervisa la capacidad de respuesta a incidentes
• Gerentes que gestionan los incidentes individuales
• Especialistas en seguridad que detectan, investigan, contienen y recuperan de los incidentes
• Especialistas técnicos que no sean de seguridad que proporcionen asistencia basada en su experiencia y conocimiento del asunto
• Enlaces con los jefes de otras unidades de negocios (legales, recursos humanos, relaciones públicas, etc.)
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.11 Tratamiento y Respuesta a Incidentes de Seguridad
44
Idealmente debería existir un CSIRT (Computer Security Incident Response Team) o un CERT (Computer Emergency Response Team).
Actúan como control de detección y corrección. Se puede considerar un control preventivo su participación en ejercicios y talleres. Es importante la difusión de alertas.
El CSIRT debe actuar como un punto único de contacto par todos los incidentes y problemas relacionados con la seguridad de la información.
Debe existir plan y proceso de gestión de incidentes.
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 23
© Copyright 2013 ISACA. Todos los derechos reservados.
5.2.11 Tratamiento y Respuesta a Incidentes de Seguridad
45
La ISO publicó la ISO/IEC 27035:2011: Estándar para la Gestión de Incidentes de Seguridad de la Información cuyo objetivo consiste en:
• Detectar, informar y evaluar los incidentes de seguridad de información;
• Responder a incidentes y gestionar incidentes de seguridad de la información;
• Detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
• Mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3 Acceso lógico
Los controles de acceso lógico son el primer medio usado para administrar y proteger los activos de información.
Son los que permiten implementar los permisos de acceso que vimos previamente.
Uno de los riesgos que intentan mitigar son las exposiciones “técnicas” de acceso lógico. (Las
veremos más adelante)
46
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 24
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.2 Familiarización con
el Ambiente TI de la
Organización
Para que los auditores de SI determinen efectivamente los controles de acceso lógico dentro de su organización, necesitan llegar a entender el ambiente de TI de una organización. El propósito de esto es determinar qué áreas desde un punto de vista del riesgo requieren la atención de la auditoría de SI al planificar el trabajo presente y futuro. Esto incluye revisar todos los niveles de seguridad asociados con la arquitectura de los sistemas de información de TI.
47
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.2 Familiarización con el
Ambiente TI de la
Organización
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 25
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.3 Las vías de Acceso Lógico
Puntos generales de entrada
• Conectividad de la red
• Acceso remoto
• Consola de operador
• Terminales o estaciones en línea
Cualquier punto de entrada no controlado o inadecua-damente controlado puede generar riesgos respecto de información sensible y crítica.
49
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.4 Software de Control de Acceso Lógico
50
Propósito
Prevenir el acceso y la modificación no autorizados a los datos valiosos de una organización y el uso de las funciones críticas del sistema.
Para lograr este nivel de control, es necesario aplicar controles de acceso en todos los niveles de la arquitectura de los sistemas de información de una organización. Cada uno de ellos incluyen por lo general alguna forma de identificación y de autenticación, autorización de acceso, verificación de recursos específicos de información, y registro y reporte de las actividades del usuario.
El mayor grado de protección al aplicar el software de control de acceso está en los niveles de red y plataforma/sistema operativo. Estos sistemas son referidos como sistemas de soporte general, y constituyen la infraestructura primaria sobre la que residirán las aplicaciones y sistemas de base de datos.
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 26
© Copyright 2013 ISACA. Todos los derechos reservados.
• Crear o cambiar los perfiles de usuarios
• Asignar identificación y autenticación de usuarios
• Aplicar reglas de limitación de inicio de sesión (logon) para usuarios
• Notificación respecto al uso y acceso apropiado antes del login inicial
• Crear responsabilidad y auditabilidad individuales mediante actividades de registro de usuarios
• Establecer reglas de accesos a recursos específicos de información (por ejemplo, recursos y datos de aplicación a nivel del sistema)
• Registrar eventos
• Capacidades de generación de reportes
Las funciones generales de control de acceso de los sistemas operativos y/o de aplicación incluyen:
51
5.3.4 Software de Control de Acceso Lógico
© Copyright 2013 ISACA. Todos los derechos reservados.
• Crear o cambiar los archivos de datos y los perfiles de la base de datos
• Verificar las autorizaciones de usuarios al nivel de aplicación y de transacción
• Verificar las autorizaciones de usuarios dentro de la aplicación
• Verificar las autorizaciones de usuarios a nivel del campo para los cambios dentro de una base de datos
• Verificar las autorizaciones de subsistemas para el usuario a nivel del archivo
• Registrar las actividades de acceso a base de datos/comunicaciones de datos para monitorear las violaciones de acceso
Las funciones de control de acceso a nivel de la base de datos y/o de aplicación incluyen:
52
5.3.4 Software de Control de Acceso Lógico
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 27
© Copyright 2013 ISACA. Todos los derechos reservados.
1 ID del Usuario=
Contraseña=
“Logueo” del usuario
Solicitar una función o recurso
Actualización
del archivo de
nómina
3
2 Verificar ID y
contraseña
de logueo
4 Controlar las
actividades
de logueo y
autorización
de recursos
del usuario
Computadora
Software de Control de Acceso
Perfil del
Usuario
Descripción
de Recursos
(incluye lista
de accceso
de usuario)
Registros de
actividad y
violaciones
5 Generar y revisar
informes sobre
actividades y
violaciones
(seguimientos y
comunicaciones
en línea)
5.3.4 Software de Control de Acceso Lógico
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.5 Identificación y Autenticación
Mediante el software de control de acceso, establecer y probar la identidad de alguien, a través de la obtención del identificador de usuario, las credenciales necesarias para autenticarlo y su validación.
Vulnerabilidades comunes
• Métodos débiles de autenticación
• Falta de confidencialidad e integridad de la información de autenticación almacenada
• Carencia de encripción para la autenticación y protección de la información transmitida por la red
• Carencia de conocimiento del usuario sobre los riesgos asociados con compartir contraseñas, tokens, etc.
Autenticación multifactorial. 54
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 28
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.5 Identificación y Autenticación
Identificación y autenticación difieren en:
• Su significado. El identificador brinda, obviamente, la identidad del usuario mientras que la autenticación asegura que es quien dice ser (por conocer/poseer el componente secreto)
• Métodos, periféricos y técnicas que los soportan
• Requerimientos en términos de secreto y gestión
• Atributos – La autenticación no tiene atributos en si misma, mientras que una identidad puede tener una validez definida en el tiempo y otra información adjunta a la misma.
• La identidad por lo general no cambia, mientras que los “tokens” de autenticación deben ser reemplazados.
55
© Copyright 2013 ISACA. Todos los derechos reservados.
Identificador de Inicio de Sesión (Logon ID) y Contraseña. El software de control de acceso mantiene una base de identificadores, contraseñas y reglas de acceso válidos. Éstas están relacionadas con recursos del sistema operativo, objetos y aplicaciones. El identificador (ID) de inicio de sesión debe ser individual.
Características de las Contraseñas
• Fácil de recordar pero difícil de adivinar.
• Cifradas. En el primer inicio de sesión se debe forzar el cambio de contraseña.
• Comunicación controlada
• Varios intentos erróneos de ingreso, revocar.
• Cambio en frecuencia dada.
• Tratamiento especial en cuentas administradoras
56
5.3.5 Identificación y Autenticación
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 29
© Copyright 2013 ISACA. Todos los derechos reservados.
Mejores prácticas de identificación y autenticación
• Regla interna confidencial para sintaxis de ID
• Cuentas por defecto (Ej.: Admin) deben ser renombradas
• Dar de baja los ID que no han sido usados durante un tiempo prefijado
• Desconectar las sesiones iniciadas, después de un tiempo de falta de uso.
• Reglas de sintaxis (formato) de las Contraseñas incluyen:
– Longitud mayor a 8 caracteres
– Combinación de, al menos, tres de las siguientes características: alfabéticos, numéricos, en mayúscula, minúscula y especiales.
– No deben guardar relación con datos del usuario (nombres de familiares, fechas de cumpleaños)
57
5.3.5 Identificación y Autenticación
© Copyright 2013 ISACA. Todos los derechos reservados.
Dispositivos de Token (Token Devices), Contraseñas de
Una Sola Vez - Tarjeta inteligente o llave USB.
Biométricos - El mejor medio par autenticar la identidad de un
usuario basándose en un atributo o rasgo único medible.
El desempeño se determina por False-Rejection Rate (FFR o tasa de error Tipo I), una medida global de Tipo I es el Failure to Enroll Rate (Fer). También existe el False- Acceptance Rate (FAR o tasa de error Tipo II). Otra medición general es el Equal Error Rate (ERR). Cuanto más baja es la medida general, más efectivo es el biométrico.
58
5.3.5 Identificación y Autenticación
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 30
© Copyright 2013 ISACA. Todos los derechos reservados.
Biométricos
• Orientado a características Físicas (por orden de efectividad)
– Palma
– Geometría de la mano
– Iris
– Retina
– Huella dactilar
– Rostro
• Orientado a características de Comportamiento
– Reconocimiento de firma
– Reconocimiento de voz 59
5.3.5 Identificación y Autenticación
© Copyright 2013 ISACA. Todos los derechos reservados.
Gestión de la Biometría - Se debe ocupar de:
• Integridad, autenticidad y no repudio de datos
• Gestión de datos biométricos en todo su ciclo de vida, constituido por los procesos de adquisición de la muestra biométrica, transmisión, almacenamiento, verificación, identificación y baja. Técnicas de seguridad y protección de integridad y privacidad.
• Uso de tecnología biométrica que incluya comparaciones uno a uno y uno a muchos para la identificación y autenticación de usuarios
• Aplicación de tecnología biométrica en la seguridad interna y externa, así como también en el control de acceso físico y lógico.
• Encapsulamiento de datos biométricos
• Seguridad del hardware usado en el ciclo de vida.
60
5.3.5 Identificación y Autenticación
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 31
© Copyright 2013 ISACA. Todos los derechos reservados.
Single sign-on (SSO)
• Es el proceso para consolidar todas las funciones de administración, autenticación y autorización basadas en la plataforma de la organización en una sola función administrativa centralizada.
• Single sign-on hace interfaz con:
– Cliente-servidor y sistemas distribuidos
– Sistemas Mainframe
– Seguridad de la red, incluyendo mecanismos de acceso remoto
61
5.3.5 Identificación y Autenticación
© Copyright 2013 ISACA. Todos los derechos reservados.
Ventajas de Single sign-on (SSO) • No se requieren ya contraseñas múltiples, por lo cual un
usuario puede estar más inclinado y motivado para seleccionar una contraseña más fuerte
• Mejora la capacidad de un administrador para gestionar las cuentas y autorizaciones de los usuarios para todos los sistemas asociados
• Reduce los costos administrativos de volver a establecer (resetear) contraseñas olvidadas en múltiples plataformas y aplicaciones
• Reduce el tiempo que le lleva a los usuarios para conectarse con múltiples aplicaciones y plataformas
62
5.3.5 Identificación y Autenticación
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 32
© Copyright 2013 ISACA. Todos los derechos reservados.
Desventajas de Single sign-on (SSO)
• El soporte para todos los principales entornos /ambientes de sistema operativo es difícil.
• Los costos asociados con el desarrollo de SSO pueden ser significativos cuando se considera la naturaleza y el grado de desarrollo y mantenimiento de interfaz que puede ser necesario
• La naturaleza centralizada de SSO presenta la posibilidad de un punto único de falla y peligro total para los activos de información de una organización
63
5.3.5 Identificación y Autenticación
© Copyright 2013 ISACA. Todos los derechos reservados.
Preguntas de Práctica
5-2 ¿Cuál de lo siguiente provee MEJOR control de acceso a los datos del sistema de pagos que se está procesando en un servidor local?
A. Registrar el acceso a la información personal
B. Usar contraseñas separadas para las transacciones sensibles
C. Usar software que restrinja las reglas de acceso al personal autorizado
D. Restringir el acceso al sistema a las horas laborables
64
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 33
© Copyright 2013 ISACA. Todos los derechos reservados.
Preguntas de Práctica
5-4 Una organización está proponiendo instalar una facilidad de single sign-on que da acceso a todos los sistemas. La organización debe estar consicente de que:
A. Un acceso no autorizado total sería posible si se revelara una contraseña
B. Los derechos de acceso serían restringidos por los parámetros adicionales de seguridad
C. La carga de trabajo del administrador de seguridad aumentaría
D. Los derechos de acceso de usuario aumentarían
65
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.6 Aspectos Relacionados
con la Autorización
Las reglas de autorización de control de acceso especifican quién puede tener acceso a qué. Deben basarse en el menor privilegio, necesidad documentada de saber y segregación de funciones.
Restricciones de acceso al nivel de archivos incluyen:
• Leer, consultar o copiar solamente
• Escribir, crear, actualizar o eliminar solamente
• Ejecutar solamente
• Una combinación de lo anterior 66
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 34
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.6 Aspectos Relacionados
con la Autorización
Listas de control de acceso (ACLs) - se refieren al registro
de:
• Usuarios (grupos, máquinas, procesos) que tienen permiso para usar un recurso particular de sistema
• Los tipos de acceso permitidos
Cuanta mayor granularidad, mayor control y mayor requerimientos de gestión. Estas listas deben ser actualizadas frente a los cambios de funciones o de locación o de nivel que registran los usuarios.
67
© Copyright 2013 ISACA. Todos los derechos reservados.
Administración de seguridad de acceso lógico – centralizada y descentralizada
Ventajas de administrar la seguridad en forma descentralizada
• La administración de seguridad está instalada localmente
• Los problemas de seguridad son resueltos más rápidamente
• Los controles de seguridad son monitoreados más frecuentemente
Algunos riesgos asociados a la administración descentralizada son:
• Implementación de criterios locales en vez de los estándares de la organización
• Los niveles de seguridad podrían estar por debajo de los que se mantienen en la administración central
• Falta de verificaciones gerenciales y auditorías
68
5.3.6 Aspectos Relacionados
con la Autorización
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 35
© Copyright 2013 ISACA. Todos los derechos reservados.
Seguridad de acceso remoto
Las organizaciones de hoy día requieren conectividad de acceso remoto a sus recursos de información para diferentes tipos de usuarios tales como empleados, proveedores, consultores, socios de negocio y representantes de clientes.
• Software de emulación de terminales
• Protocolo TCP/IP
• VPN
Métodos comunes de conectividad
• ISDN – NAS
• DIAL – UP
• Conexiones dedicadas de red 69
5.3.6 Aspectos Relacionados
con la Autorización
© Copyright 2013 ISACA. Todos los derechos reservados.
Los riesgos de acceso remoto incluyen:
• Denegación de servicio
• Terceros malintencionados
• Software de comunicaciones mal configurado
• Dispositivos mal configurados en la infraestructura informática corporativa
• Sistemas anfitriones (host) no asegurados debidamente
• Problemas de seguridad física en computadoras de usuarios remotos
70
5.3.6 Aspectos Relacionados
con la Autorización
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 36
© Copyright 2013 ISACA. Todos los derechos reservados.
Los controles de seguridad para acceso remoto incluyen:
• Política y estándares
• Autorizaciones apropiadas
• Mecanismos de identificación y autenticación
• Herramientas y técnicas de cifrado, como por ejemplo el uso de VPN
• Administración de sistemas y de redes
71
5.3.6 Aspectos Relacionados
con la Autorización
© Copyright 2013 ISACA. Todos los derechos reservados.
Acceso remoto usando dispositivos de mano (en general móviles (Ej.: PDAs - Personal Digital Assistants)
Abordar problemas de control (Ej. Fáciles de robar o perder, conexión insegura como las redes wireless, BYOD). Asociar a política de seguridad específica, que incluya:
• Borrado y bloqueo remoto
• Rastreo por geolocalización
• Autenticación, autorización y responsabilidad en la red
• Respaldo remoto seguro
• Política de uso aceptable 72
5.3.6 Aspectos Relacionados
con la Autorización
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 37
© Copyright 2013 ISACA. Todos los derechos reservados.
• Cumplimiento
• Aprobación
• Aplicaciones PDA estándar
• Debido cuidado
• Cursos de concienciación
• Aplicaciones para PDA
• Sincronización
• Cifrado
• Detección y control de virus
• Registro de dispositivos
• Uso de cámaras fotográficas 73
5.3.6 Aspectos Relacionados
con la Autorización
© Copyright 2013 ISACA. Todos los derechos reservados.
Problemas de acceso con tecnología móvil
• Estos dispositivos deben ser estrictamente controlados tanto por política como por negación de uso. Las posibles acciones incluyen:
– Prohibir todo uso de drives portátiles en la política de seguridad.
– Cuando existen puertos de USB no autorizados que se estén usando, deshabilitar el uso con un logon script que los elimine del directorio de sistema.
– Si se consideran necesarios para el uso del negocio, encriptar / cifrar todos los datos transportados o almacenados por estos dispositivos.
74
5.3.6 Aspectos Relacionados
con la Autorización
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 38
© Copyright 2013 ISACA. Todos los derechos reservados.
Registros de auditoría en el monitoreo de los accesos al sistema
• Provee a la gerencia un rastro de auditoría para monitorear actividades de naturaleza sospechosa, como el caso de un hacker intentando ataques de
fuerza bruta a un ID privilegiado
75
5.3.6 Aspectos Relacionados
con la Autorización
© Copyright 2013 ISACA. Todos los derechos reservados.
Derechos de acceso a los registros (logs) del sistema
• Acceso con fines de revisión
• Protección de integridad y confidencialidad (en caso que contenga datos reservados)
• Se requiere revisión periódica
Herramientas para el análisis de pistas de auditoría (logs)
• Herramientas de reducción de auditoría
• Herramientas de detección de tendencias /varianzas
• Herramientas de detección de firma de ataque 76
5.3.6 Aspectos Relacionados
con la Autorización
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 39
© Copyright 2013 ISACA. Todos los derechos reservados.
Consideración de Costos
Puede ocurrir sobrecarga del sistema al grabar, almacenar logs. La revisión manual es casi imposible. Podrían requerirse herramientas tecnológicas. Frecuencia de revisión en consonancia con valor de la información. Sumar el costo de investigación.
El auditor debe buscar patrones o tendencias y violaciones. Una vez que la violación ha sido identificada:
• Informar al administrador de seguridad
• Investigar y determinar la gravedad de la violación
• Según la gravedad debe ser notificada a la Dirección Ejecutiva, policía, etc.
• Procedimientos de gestión de relaciones públicas
• Directrices escritas para su tratamiento
• Acciones disciplinarias
• Medidas correctivas
5.3.6 Aspectos Relacionados
con la Autorización
© Copyright 2013 ISACA. Todos los derechos reservados.
Nomenclatura de perfiles para los controles de acceso
lógico
Las funcionalidades de acceso son implementadas por la administración de seguridad mediante un conjunto de reglas de acceso que estipula cuáles usuarios (o grupos de usuarios) están autorizados a tener acceso a un recurso.
Las convenciones de nomenclatura son estructuras usadas para dirigir el acceso de los usuarios al sistema y la autoridad que tiene el usuario para acceder y usar los recursos.
Se requieren para mantener el registro personal de tareas (accountability) y la segregación de funciones
5.3.6 Aspectos Relacionados
con la Autorización
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 40
© Copyright 2013 ISACA. Todos los derechos reservados.
Preguntas de Práctica
5-5 ¿Un auditor de SI que revisa el registro de intentos de conexión (logon) fallidos estaría MÁS preocupado de cuál de las siguientes cuentas fuera tomada como objetivo?
A. Administrador de red
B. Administrador del sistema
C. Administrador de datos
D. Administrador de base de datos
79
© Copyright 2013 ISACA. Todos los derechos reservados.
5.3.7 Almacenar, Recuperar, Transportar y Desechar Información
Confidencial Procedimientos para prevenir el acceso o la pérdida de información sensible.
• Archivos de respaldo de bases de datos
• Bancos de datos
• Desecho de medios usados anteriormente para mantener información confidencial
• Administración de equipos enviados fuera para mantenimiento
• Agencias y organizaciones públicas preocupadas por la información sensitiva, crítica o confidencial
• Llaves electrónicas de E-token
• Registros de almacenamiento
80
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 41
© Copyright 2013 ISACA. Todos los derechos reservados.
Preservación de la Información Durante el Envío o Almacenamiento
Recomendaciones aplicables a todo tipo de medios
• Mantener fuera de la luz directa del sol
• Mantener libre de líquidos
• Mantener libre de polvo
• Mantener los medios lejos de exposición a campos magnéticos, equipos de radio o cualquier fuente de vibración
• No transportar en las áreas y a las horas de exposición a fuerte tormenta magnética
81
5.3.7 Almacenar, Recuperar, Transportar y Desechar Información
Confidencial
© Copyright 2013 ISACA. Todos los derechos reservados.
Almacenamiento de
medios Precauciones
Unidades de disco
duro
Guarde las unidades de disco duro en bolsas anti estáticas y asegúrese
que la persona que las retira de la bolsa está libre de estática.
Si conserva la caja y el material de embalaje original de la unidad de disco
duro, úselo cuando necesite transportar el disco.
Evite los materiales de embalaje de espuma de poliestireno u otros
materiales que puedan causar electricidad estática.
Las alteraciones súbitas de temperatura son peligrosas, porque estos
cambios pueden provocar el colapso de los discos duros.
Si la unidad de disco duro ha estado a muy baja temperatura, debe llevarse
a la temperatura de la habitación antes de instalarlo y usarlo.
Evite golpes y vibraciones mecánicas súbitas.
Cartuchos de cinta
magnética
Almacene las cintas en posición vertical.
Almacene las cintas en estuches protectores para transportarlas.
Proteger de inmediato todas las cintas contra escritura.
Unidades USB y dis-
cos duros portátiles
Evitar temperaturas y humedad extremas y los campos magnéticos fuertes
CDs y DVDs Manipule estos medios tomándolos por los bordes o por el orificio central.
Evite doblar los CD.
Evite la exposición prolongada a la luz intensa.
Guárdelos en estuches duros, no en fundas blandas. 82
5.3.7 Almacenar, Recuperar, Transportar y Desechar Información
Confidencial
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 42
© Copyright 2013 ISACA. Todos los derechos reservados.
5.7.1 Problemas y Exposiciones Ambientales
Fallas de energía:
• Falla total (apagón)
• Voltaje severamente reducido (caída de voltaje)
• Caídas, picos y sobrevoltajes
• Interferencia electromagnética (EMI)
83
© Copyright 2013 ISACA. Todos los derechos reservados.
5.7.2 Controles para las Exposiciones Ambientales
• Panel de Control de Alarmas
• Detectores de Agua
• Extintores Manuales de Incendios
• Alarmas Manuales de Incendios
• Detectores de Humo
• Sistemas de Supresión de Incendios
• Ubicación Estratégica de la Sala de Computadoras
• Inspección regular del departamento de bomberos
84
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 43
© Copyright 2013 ISACA. Todos los derechos reservados.
5.7.2 Controles para las Exposiciones Ambientales
• Paredes, Pisos y Cielorrasos a Prueba de Incendios • Protectores de Voltaje • Suministro /Generador de Energía Eléctrica Ininterrumpida
(UPS) • Conmutador de Energía de Emergencia • Líneas de Energía Provenientes de Dos Subestaciones • Cableado Colocado en los Paneles Eléctricos y Conductos • Actividades Inhibidas Dentro del Centro de Procesamiento de
Información • Materiales de Oficina Resistentes al Fuego • Planes Documentados y Probados de Evacuación de
Emergencia
85
© Copyright 2013 ISACA. Todos los derechos reservados.
5.8.1 Problemas y Exposiciones de Acceso Físico
• Entrada no autorizada
• Daño, vandalismo o robo de los equipos o documentos
• Copia o visualización de información sensitiva o patentada
• Alteración de equipos e información sensitiva
• Revelación al público de información sensitiva
• Abuso de los recursos de procesamiento de datos
• Chantaje
• Fraude
86
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 44
© Copyright 2013 ISACA. Todos los derechos reservados.
5.8.1 Problemas y Exposiciones de Acceso Físico
Posibles perpetradores son empleados:
• Descontentos
• Huelga
• Amenazados con una acción disciplinaria o con despido
• Adictos a una sustancia o al juego
• Están experimentando problemas financieros o emocionales
• Se les haya notificado su despido
87
© Copyright 2013 ISACA. Todos los derechos reservados.
5.8.2 Controles de Acceso Físico
• Puertas con cerrojo
• Cerraduras con claves (cipher locks)
• Cerraduras electrónicas
• Cerraduras biométricas
• Registro manual
• Registro electrónico
88
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 45
© Copyright 2013 ISACA. Todos los derechos reservados.
5.8.2 Controles de Acceso Físico
• Tarjetas de identificación (IDs fotográficas)
• Cámaras de video
• Guardias de seguridad
• Acceso controlado de visitantes
• Personal afianzado
• Puertas esclusa
89
© Copyright 2013 ISACA. Todos los derechos reservados.
5.8.2 Controles de Acceso Físico
• No publicitar la ubicación de las áreas sensitivas
• Bloqueo de las terminales de computadoras
• Punto único de entrada controlado
• Sistema de alarma
• Seguridad en el transporte y distribución de documentos (mensajería)
• Ventanas
90
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 46
© Copyright 2013 ISACA. Todos los derechos reservados.
5.8.3 Auditoría al Acceso Físico
• Recorrido de las instalaciones. Analizar controles sobre empleados, visitantes, proveedores.
• Recorrer el Centro de Procesamiento de Información/Centro de Procesamiento de datos (Information Processing Facility – IPF/Data Center)
• Recorrer áreas de almacenamiento de medios, estaciones de impresión.
• Recorrer los depósitos de equipamiento, salas de reparación y/o actualización
• Recorrer depósitos de papel y suministros.
91
© Copyright 2013 ISACA. Todos los derechos reservados.
5.8.3 Auditoría al Acceso Físico
• Verificar que existan pruebas de seguridad física:
– Simulacro de evacuación de emergencia
– Inspecciones recientes sobre elementos de prevención y detección de incendios
– UPS/Generador
– Instalación de almacenamiento externo de copias de respaldo
• Evaluar vías de entrada:
– Todas las puertas de entrada
– Puertas de salida de emergencia
– Ventanas y paredes de vidrio
– Paredes movibles y cubículos modulares
– Pisos y techos falsos
– Sistemas de ventilación 92
Curso de Apoyo a la Preparación del
Examen CISA® 2013 PROGRAMA DE CERTIFICACIÓN
PROFESIONAL
PRESENTADO POR: Asociación de Auditoría y Control de Sistemas de Información (ADACSI) © Copyright 2013
Marcia L. Maggiore, CISA, CRISC
Especialista en Seguridad Informática (UBA)
Capítulo V - 47
© Copyright 2013 ISACA. Todos los derechos reservados.
5.9 Dispositivos de Computación Móvil
Controles para la reducción del riesgo de revelación de información:
• Grabar o marcar un número de serie, nombre, logo de la compañía
• Usar un sistema de bloqueo de cable o con detector de movimiento
• Resguardar los datos periódicamente
• Cifrado de datos
• Uso de contraseñas en archivos individuales
• Establecer equipo de respuesta al robo.
El auditor deberá verificar estas condiciones y además los procesos de actualización de parches de seguridad, la política de seguridad.
93