Upload
pilar-santamaria
View
44
Download
3
Embed Size (px)
Citation preview
MÁSTER UNIVERSITARIO EN SEGURIDAD DE LAS
TECNOLOGÍAS DE LA INFORMACIÓN Y LAS
COMUNICACIONES
TRABAJO FIN DE MÁSTER
PLANES DE AUDITORÍA Y BUENAS PRÁCTICAS
PARA ENTORNOS CLOUD COMPUTING Y
BRING YOUR OWN DEVICE
FERNANDO GALINDO MERINO
GUILLERMO MARTÍN VIDAL
BEATRIZ PUERTA HOYAS
UMBERTO FRANCESCO SCHIAVO
CURSO 2012-2013
Agradecimientos
Nos gustaría en estas líneas expresar un agradecimiento a todas aquellas personas que
nos han ayudado en la realización de este proyecto y que han colaborado de manera
activa con nuevas ideas y/o aportando documentación e información de interés para el
mismo. Sin su ayuda, la realización del proyecto hubiera sido mucho más difícil.
Queremos expresar un especial reconocimiento a Pilar Santamaría, directora de este
proyecto, por el interés que ha mostrado en todo momento, dándonos sugerencias y
ánimos para terminar el trabajo.
Y, por supuesto, mencionar a nuestros compañeros de Máster que, gracias a sus ánimos,
todo ha resultado más sencillo.
¡Gracias a todos por vuestro apoyo!
Resumen
El concepto de Cloud Computing se remonta a los años cincuenta cuando se utilizaban
servidores “mainframe” de los que dependían terminales muy simples sin apenas
capacidad de cómputo. Sin embargo, es actualmente cuando muestra un mayor auge
empresarial. Un proceso similar sucede con Bring Your Own Device, los empleados han
estado utilizando algunos recursos propios desde varios años atrás, pero ahora es común
encontrarlo en gran número de empresas y negocios. Observando en el pasado y en el
presente, se puede extraer que la tecnología evoluciona y las personas con ella.
Es conveniente emplear una manera inteligente de pensar, en vez de rehuir de una
tecnología de vanguardia, que se está instaurando cada vez con más fuerza en la
sociedad actual. Para ello, se deben afrontar las posibles dificultades que puedan surgir
al implantar una tecnología de esta envergadura en una empresa, especialmente en lo
referido al ámbito de seguridad.
En este trabajo se estudian las dos tecnologías propuestas haciendo uso de los
principales estándares y marcos de referencia de los Sistemas de la Información. Se
identifican los principales riesgos de ambos entornos y se desarrolla un plan de auditoría
para cada uno de ellos con el fin de facilitar un posible proceso de auditoría sobre dichas
tecnologías.
Para valorar la eficacia de los controles desarrollados en los planes de auditoría
propuestos, se procede a su comparación con otros estándares (COBIT 4.1, ITIL v3,
ISO/IEC 27002:2005, NIST SP 800-53 Revisión 3 y los 20 Controles Críticos de Seguridad
propuestos por SANS Institute para el año 2013) y, de esta forma, localizar los puntos
fuertes y débiles de los planes de auditoría propuestos. Además, con este método, se
establece una clara relación entre los diferentes controles y dominios, obteniéndose una
interesante comparativa con gran utilidad para todas aquellas empresas o instituciones
que deseen auditar sus entornos Cloud Computing y Bring Your Own Device, puesto que
podrán adaptar fácilmente los planes de auditoría a sus tecnologías e infraestructuras,
pudiendo seleccionar aquellas áreas y controles que mejor se adapten a sus entornos
corporativos.
Abstract
Cloud Computing concept dates back to the fifties when mainframe servers were used
with simple terminals with barely computing capacity. However, nowadays it has a
higher business boom. A similar process happens with Bring Your Own Device, employees
have been using their own devices for several years, but it is now commonly found in
many companies and businesses. Noting in the past and in the present, you can see how
technology evolves and people with it.
It is convenient to use a smart way of thinking, rather than giving up from a cutting-edge
technology which is being established with an increasing force in today's society. To
achieve this goal, we must deal with possible difficulties that may arise when
implementing this technology with such an impact in the company, especially regarding
to the security field.
In this paper, the two proposed technologies are studied using key standards and
frameworks of Information Technology Systems. The main risks of both environments are
identified and two audit frameworks (one for each) are developed in order to facilitate a
possible audit processes regarding such technologies.
To assess the effectiveness of the developed controls in the proposed frameworks,
controls are mapped with the main Information Technology Systems standards and
frameworks such as COBIT 4.1, ITIL v3, ISO / IEC 27002:2005, NIST SP 800-53 Revision 3
and the 20 Critical Controls proposed by SANS Security Institute in 2013. This process
allows us to locate the strengths and weaknesses of the proposed frameworks.
Moreover, with this methodology, there is a clear relationship between the identified
controls and domains, obtaining an interesting comparative focused on being useful for
those companies or institutions wishing to audit their Cloud Computing and Bring Your
Own Device environments. They will be easily able to customize their frameworks
according to their infrastructure technologies, selecting those areas, domains and
controls which are more suitable with their corporate environments.
Autobiografía de los Autores
Guillermo Martin Vidal, Auditor Interno de TI en MAPFRE, estudió
Ingeniería Superior Informática en la Universidad Politécnica de Madrid
(UPM). Continuó su formación de post-grado con el Máster Universitario
en Seguridad de las Tecnologías de la Información y Comunicaciones de la
Universidad Europea de Madrid (UEM). Durante sus últimos años de
formación, trabajó como Programador Java en Alcatel-Lucent (Amberes,
Bélgica) y como Becario de Seguridad en Oesía Networks (Madrid).
Beatriz Puerta Hoyas, Técnica de Investigación en la Universidad Carlos III
de Madrid, estudió en la misma la titulación de Grado en Ingeniería
Informática. Continuó su formación de post-grado con el Máster
Universitario en Seguridad de las Tecnologías de la Información y
Comunicaciones de la Universidad Europea de Madrid (UEM). Durante sus
últimos años de formación, trabajó como Formadora en el Instituto de
Formación y Estudios del Gobierno Local de Madrid.
Fernando Galindo Merino, Consultor Arquitectura SAP en Accenture,
estudió Ingeniería Informática en la Universidad de Valladolid. Realizó el
Máster de Profesor de Educación Secundaria Obligatoria en la Universidad
de Valladolid. Continuó su formación con el Máster Universitario en
Seguridad de las Tecnologías de la Información y Comunicaciones de la
Universidad Europea de Madrid (UEM). Trabajó como profesor de
Formación Profesional en el Centro Don Bosco – Villamuriel de Cerrato
(Palencia).
Umberto Francesco Schiavo, Becario en Telefónica digital, estudió
Licenciatura en Informática en la Universidad de Oriente de Venezuela.
Continuó su formación de post-grado con el Máster Universitario en
Seguridad de las Tecnologías de la Información y Comunicaciones de la
Universidad Europea de Madrid (UEM).
I
Índice de contenidos
CAPÍTULO I: MOTIVACIÓN Y OBJETIVOS 1
1. INTRODUCCIÓN 1
1.1 CONTEXTO Y MOTIVACIÓN 1
1.2 OBJETIVOS PRINCIPALES DEL PROYECTO 2 1.3 FASES DEL PROYECTO 3
CAPÍTULO II: ESTADO DEL ARTE 5
2. INTRODUCCIÓN 5 2.1 LAS TRES LÍNEAS DE DEFENSA EN EL CONTROL DEL RIESGO 5
2.1.1 PRIMERA L ÍNEA DE DEFENSA: GESTIÓN OPERATIVA 6
2.1.2 SEGUNDA LÍNEA DE DEFENSA: GESTIÓN DEL RIESGO Y FUNCIONES DE CUMPLIMIENTO Y
SUPERVISIÓN 6
2.1.3 TERCERA LÍNEA DE DEFENSA: LA AUDITORÍA INTERNA 7
2.1.3.1 DEBILIDADES COMUNES DE LA AUDITORÍA INTERNA 9
2.1.4 AUDITORIAS EXTERNAS Y ORGANISMOS REGULADORES 9 2.1.4.1 PRÁCTICAS RECOMENDADAS 10
2.2 MARCOS DE REFERENCIA ACTUAL ES, ¿CUAL ELEGIR? 11
2.3 CLASIFICACIÓN DE RIESGOS EN ENTORNOS CLOUD COMPUTING Y BYOD 13 2.4 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING 17
2.4.1 INTRODUCCIÓN AL CLOUD COMPUTING 17
2.4.1.1 MODELOS DE DESPLIEGUE 18
2.4.1.2 MODELOS DE SERVICIO 18 2.4.2 DOCUMENTACIÓN DE REFERENCIA 20
2.4.2.1 ENISA 20
2.4.2.2 Cloud Computing Alliance (CSA) 21 2.4.2.3 NIST 21
2.4.3 CERTIFICACIONES 21
2.4.3.1 Certificate of Cloud Security Knowledge 22
2.4.4 RIESGOS DEL CLOUD COMPUTING 22 2.4.4.1 CLASIFICACIÓN DEL RIESGO 26
2.5 AUDITORÍAS BYOD (BRING YOUR OWN DEVICE) 28
2.5.1 INTRODUCCIÓN AL BYOD 28 2.5.2 PRINCIPALES RETOS DEL BYOD 30
2.5.2.1 GESTIÓN DE RIESGOS 30
2.5.2.2 TELETRABAJO 30
2.5.2.3 DISPOSICIÓN DE LA INFORMACIÓN 30 2.5.2.4 GESTIÓN DE APLICACIONES 31
2.5.2.5 GESTIÓN DE AUTORIZACIONES 31
2.5.2.6 DISPOSITIVOS PERMITIDOS 31 2.5.2.7 DISPONIBILIDAD DE SERVICIOS 32
II
2.5.2.8 IMPLANTACIÓN Y DESPLIEGUE 32
2.5.2.9 GESTIÓN DE COSTES Y MANTENIMIENTO 32 2.5.2.10 SEGURIDAD Y CONFORMIDAD 32
2.5.3 DOCUMENTACIÓN DE REFERENCIA 33
2.5.3.1 CISCO 33
2.5.3.2 GARTNER 35 2.5.3.3 ISO 27001 – RESUMEN DE POLÍTICAS INFERIDAS PARA BYOD 37
2.5.4 CERTIFICACIONES 37
2.5.4.1 ARUBA NETWORKS 37 2.5.4.2 BRING YOUR OWN DEVICE (BYOD) CISCO TRAINING 38
2.5.5 RIESGOS DE BYOD 40
2.5.5.1 RIESGOS ECONOMICOS 40
2.5.5.2 RIESGOS RELACIONADOS CON LEYES Y REGULACIONES 41 2.5.5.3 RIESGOS EN LOS DATOS 42
2.5.5.4 CLASIFICACIÓN DEL RIESGO 43
CAPÍTULO III: PLANTEAMIENTO Y SOLUCIÓN 45
3. INTRODUCCIÓN 45
3.1 PLANIFICACIÓN DE LA AUDITORÍA 54
3.1.1 ALCANCE Y OBJETIVO DE LA AUDITORÍA 54 3.1.2 TRABAJO DE CAMPO 54
3.1.2.1 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING 56
3.1.2.1.1 PLAN DE AUDITORÍA 57
3.1.2.2 AUDITORÍAS DE BYOD (BRING YOUR OWN DEVICE) 107 3.1.2.2.1 PLAN DE AUDITORÍA 107
3.1.3 ELABORACIÓN Y PRESENTACIÓN DEL INFORME DEFINITIVO 135
3.2 ANÁLISIS PLAN DE AUDITORÍA CLOUD COMPUTING 137
3.2.1 VISIÓN GENERAL POR ESTÁNDAR 137 3.2.1.1 COBIT 4 .1 137
3.2.1.2 ITIL v3 138
3.2.1.3 ISO/IEC 27002:2005 139 3.2.1.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations 139
3.2.1.5 SANS: 20 Critical Security Controls 140
3.2.2 VISIÓN POR DOMINIOS DE CONTROL 142 3.2.2.1 COBIT 4 .1 142
3.2.2.2 ITIL v3 143
3.2.2.3 ISO/IEC 27002:2005 144 3.2.2.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations 145
3.2.2.5 SANS: 20 Critical Security Controls 146
3.2.3 PUNTOS FUERTES PLAN DE AUDITORÍA 148 3.2.4 PUNTOS DÉBILES PLAN DE AUDITORÍA 149
3.3 ANÁLISIS PLAN DE AUDITORÍA BRING YOUR OWN DEVICE 151
3.3.1 VISION GENERAL POR ESTÁNDAR 151 3.3.1.1 COBIT 4 .1 152
3.3.1.2 ITIL v3 152
3.3.1.3 ISO/IEC 27002:2005 153
III
3.3.1.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations 154 3.3.1.5 SANS: 20 Critical Security Controls 154
3.3.2 VISIÓN POR DOMINIOS DE CONTROL 156
3.3.2.1 COBIT 4 .1 156
3.3.2.2 ITIL v3 157 3.3.2.3 ISO/IEC 27002:2005 158
3.3.2.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations 159 3.3.2.5 SANS: 20 Critical Security Controls 160
3.3.3 PUNTOS FUERTES PLAN DE AUDITORÍA 162
3.3.4 PUNTOS DÉBILES PLAN DE AUDITORÍA 163
3.4 ANÁLISIS FINAL DEL PROYECTO (CLOUD COMPUTING & BYOD) 165 3.4.1 COBIT 4.1 165
3.4.2 ITIL v3 165
3.4.3 ISO/IEC 27002:2005 166 3.4.4 NIST: Recommended Security Controls for Federal Information Systems and Organizations 167
3.4.5 SANS: 20 Critical Security Controls 168
CAPÍTULO IV: CONCLUSIONES 169
4. RESUMEN DEL TRABAJO REALIZADO 169
4.1 CONCLUSIONES FINALES DEL PROYECTO 171
4.2 DESCRIPCIÓN OBJETIVOS 173
4.3 FUTURAS LÍNEAS DE DESARROLLO 174
BIBLIOGRAFÍA 177
GLOSARIO DE TÉRMINOS 179
V
ÍNDICE DE TABLAS
Tabla 1: Esquema tres líneas de defensa ................................................................................................................... 10
Tabla 2: Marcos de Referencia .................................................................................................................................... 12
Tabla 3: Estimación Riesgo ISO/IEC 27005:2008...................................................................................................... 15 Tabla 4: Niveles .............................................................................................................................................................. 15
Tabla 5: Efecto en caso de materialización ............................................................................................................... 16
Tabla 6: Valoración de la Probabilidad ...................................................................................................................... 16
Tabla 7: Valoración del Riesgo..................................................................................................................................... 16 Tabla 8: Valoración de los Riesgos Cloud Computing .............................................................................................. 27
Tabla 9: Valoración del riesgo BYOD .......................................................................................................................... 43
Tabla 10: Áreas de Control BYOD .............................................................................................................................. 107
VII
ÍNDICE DE IMÁGENES
Imagen 1: Gráfico basado en el estudio de Forrester Consulting BYOD .................................................................2
Imagen 2: Fases del proyecto .........................................................................................................................................3
Imagen 3: Las Tres Líneas del Modelo de Defensa (Three Lines Model, IIA Position Paper) ...............................6 Imagen 4: Organización auditoría interna, “Khushbu Pratap, “Best Practices for Creating an IT Internal
Audit.pdf” Gartner [5] ......................................................................................................................................................8
Imagen 5: Comparativa de marcos, guías y estándares. ........................................................................................ 13
Imagen 6: Clasificación del Riesgo .............................................................................................................................. 14 Imagen 7: Modelos de Servicio .................................................................................................................................... 19
Imagen 8: Diferentes Entornos de Cloud, .................................................................................................................. 20
Imagen 9: Restricciones BYOD ..................................................................................................................................... 29 Imagen 10: Aspectos a tener en cuenta en base al nivel de acceso permitido a la red .................................... 39
Imagen 11: Estudio Estándares y Marcos de Buenas Prácticas ............................................................................. 47
Imagen 12: Dominios Estándares ................................................................................................................................ 48
Imagen 13: Resultados COBIT 4.1 Cloud Computing ............................................................................................. 137 Imagen 14: Resultados ITIL v3 Cloud Computing ................................................................................................... 138
Imagen 15: Resultados ISO/IEC 27002:2005 Cloud Computing ........................................................................... 139
Imagen 16: Resultados NIST Cloud Computing....................................................................................................... 139
Imagen 17: Resultados SANS Cloud Computing ..................................................................................................... 140 Imagen 18: Detalle Dominios COBIT 4.1 Cloud Computing .................................................................................. 142
Imagen 19: Detalle Resultados ITIL v3 Cloud Computing ..................................................................................... 143
Imagen 20: Resultados ISO/IEC 27002:2005 Cloud Computing ........................................................................... 144 Imagen 21: Resultados NIST Cloud Computing....................................................................................................... 145
Imagen 22: Imagen 24: Resultados SANS Cloud Computing ................................................................................ 146
Imagen 23: Principales Puntos de Control del Plan de auditoría Cloud Computing ......................................... 148
Imagen 24: Puntos Débiles Plan Trabajo Cloud Computing ................................................................................. 149 Imagen 25: Resultados COBIT 4.1 BYOD .................................................................................................................. 152
Imagen 26: Resultados ITIL v3 BYOD ........................................................................................................................ 152
Imagen 27: Resultados ISO/IEC 27002:2005 BYOD................................................................................................ 153 Imagen 28: Resultados NIST BYOD ........................................................................................................................... 154
Imagen 29: Resultados SANS BYOD .......................................................................................................................... 154
Imagen 30: Detalle Dominios COBIT 4.1 BYOD ....................................................................................................... 156
Imagen 31: Detalle Resultados ITIL v3 BYOD .......................................................................................................... 157 Imagen 32: Resultados ISO/IEC 27002:2005 BYOD................................................................................................ 158
Imagen 33: Resultados NIST BYOD ........................................................................................................................... 159
Imagen 34: Resultados SANS BYOD .......................................................................................................................... 160 Imagen 35: Principales Puntos de Control del Plan de auditoría BYOD ............................................................. 162
Imagen 36: Puntos Débiles Plan Trabajo BYOD ...................................................................................................... 163
Imagen 37: Tipos de Auditorías Informáticas ......................................................................................................... 175
1
CAPÍTULO I: MOTIVACIÓN Y OBJETIVOS
1. INTRODUCCIÓN
1.1 CONTEXTO Y MOTIVACIÓN
Dentro del ámbito de la seguridad de las tecnologías de la información y comunicaciones
(TIC), este trabajo surge previa identificación de una carencia o falta de información
relativa a procesos de auditoría de las nuevas tecnologías de vanguardia tales como el
Cloud Computing o el Bring Your Own Device (BYOD).
Cada vez son más las empresas que migran sus datos a la “nube” intentando aprovechar
al máximo las ventajas que Cloud Computing pone a su servicio. Esto supone trasladar la
información de un centro controlado por la propia empresa a otro lugar gestionado por
terceros. Muchas son las medidas de seguridad que deben establecerse tanto desde el
lado del cliente como por parte de los proveedores para poder asegurar la seguridad
tanto en el proceso de migración como durante la gestión y supervisión de la misma. De
no ser así, las empresas pueden llegar a perder la traza de su información y de sus
principales datos de negocio. Dentro de este proceso de globalización, cabe formularse
numerosas preguntas tales como ¿dónde estará mi información?, ¿a qué riesgos
estamos expuestos ante una migración a un sistema de Cloud Computing?, ¿cómo viaja
nuestra información por la red?, ¿cómo podemos asegurar la confidencialidad,
integridad y el no-repudio de la información?, ¿podemos realizar revisiones a los
sistemas físicos en los que están contenidos nuestra información?, si los sistemas físicos
se encuentran en otros países ¿cómo se ve afecta nuestra empresa por la jurisdicción de
dichos países?, etc.
Ligado al Cloud Computing nace el término “Bring Your Own Device” (BYOD) en
respuesta a la necesidad de permitir a los empleados de las organizaciones trabajar en
cualquier momento y desde cualquier lugar y/o sistema. Según Gartner, la tendencia
BYOD también conocida como consumerización, será la tendencia más significativa que
afectará a la TI durante los próximos diez años. El paradigma de seguridad al que
estamos expuestos es completamente diferente y la diversidad de equipos que acceden
a nuestra red crecerá de manera exponencial. Cada uno de estos equipos tendrá sus
propias configuraciones y aplicaciones, sin embargo, debemos ser capaces de establecer
las políticas y controles de seguridad necesarios para permitir su acceso sin
comprometer la red corporativa.
Actualmente, existen diferentes tipos de BYOD basados en los sistemas a los que se les
permite el acceso al entorno corporativo. El estudio “Key Strategies To Capture And
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
2
Measure The Value Of Consumerization Of IT” [1] de la consultora “Forrester Consulting”
durante el 2012 muestra las siguientes tendencias BYOD:
Imagen 1: Gráfico basado en el estudio de Forrester Consulting BYOD
Si bien puede observarse cómo actualmente un 60% de los programas BYOD están
enfocados a teléfonos móviles de última generación, la tendencia indica que terminará
extendiéndose de manera generalizada a cualquier dispositivo móvil. Es por ello que las
empresas deben posicionarse ante el fenómeno BYOD y comenzar a desarrollar políticas
de seguridad que permitan trabajar de manera segura con independencia del sistema
empleado.
La principal motivación del presente trabajo es presentar un plan de auditoría que
permita llevar a cabo auditorías de entornos Cloud Computing y BYOD con el fin de
aumentar el control, la seguridad corporativa y reducir los riesgos a los que estamos
expuestos.
1.2 OBJETIVOS PRINCIPALES DEL PROYECTO
Como parte de presente proyecto, se han identificados los siguientes objetivos para su
cumplimiento:
Mostrar cual es la situación actual en cuanto a entornos Cloud Computing y BYOD
desde un punto de vista de la seguridad y el riesgo.
Analizar los principales riesgos de Cloud Computing y BYOD.
Realizar un plan de auditoría que permita abordar de manera clara y concisa
auditorías de entornos Cloud Computing y BYOD.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
3
1.3 FASES DEL PROYECTO
Se han identificado tres grandes grupos que se muestran de manera gráfica a
continuación:
Imagen 2: Fases del proyecto
1. Investigación Cloud Computing y BYOD:
Es la parte introductoria del proyecto en la cual se presenta el estado del arte de los
entornos Cloud Computing y BYOD.
Como punto de partida del trabajo se ha considerado relevante realizar una descripción
del modelo de “Las tres líneas de defensa” en el control del riesgo. En dicho modelo, se
plantea desde un punto de vista corporativo, tres líneas de defensa para tratar de
reducir los principales riesgos de negocio. Encontramos a auditoría interna como la
tercera línea defensa, con una visión independiente del resto de áreas y una
comunicación directa con la dirección.
Una vez introducido el concepto de auditoría en la gestión del riesgo, el siguiente paso
consiste en realizar un estudio del estado del Cloud Computing y BYOD en la actualidad.
Para ello, se realizará un análisis de los principales modelos de servicio, soluciones y
riesgos para asociados a cada uno de los entornos.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
Auditorías BYOD
Auditorías entornos
Cloud Computing
Investigación Cloud
Computing y BYOD
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
4
2. Auditorías de entornos Cloud Computing:
En este bloque presentaremos un plan de auditoría para llevar a cabo auditorías de
seguridad de entornos Cloud Computing. Este plan de auditoría estará enfocado a
reducir el impacto de los riesgos identificados en la sección 2.4.4 Riesgos. Para su
elaboración, nos basaremos en el programa que ISACA presenta en “Cloud Computing
Management Audit/Assurance Program” [2]. Avanzaremos a lo largo del proceso de una
auditoría, desde la propuesta hasta la ejecución del plan de auditoría terminando en el
informe final.
3. Auditorías BYOD:
En este bloque, al igual que en el anterior, será presentado un plan de auditoría para
llevar a cabo auditorías de seguridad de BYOD. En este caso, el plan de auditoría estará
diseñado para reducir el impacto de los riesgos identificados en la sección 2.5.4 Riesgos.
Nos basaremos en el programa “Bring Your Own Device (BYOD) Security Audit/Assurance
Program” de ISACA [3].
Los planes de auditoría que serán desarrollados a los largo del proyecto tienen como
objetivo servir como base para la realización de trabajos específicos en todos aquellos
entornos y/o entidades en las que se quieran aplicar. Para la consecución de este
objetivo, se realizarán planes genéricos, fácilmente adaptables a los diferentes entornos
y comprensibles para destinatarios con un nivel de formación técnica baja-media.
5
CAPÍTULO II: ESTADO DEL ARTE
2. INTRODUCCIÓN
2.1 LAS TRES LÍNEAS DE DEFENSA EN EL CONTROL DEL RIESGO
El “The institute of internal Auditors” presenta en su artículo “IIA Position Paper_the
three lines of defense in effective risk management and control.pdf” [4] el modelo de las
tres líneas de defensa como forma de prevención y protección frente al riesgo. A lo largo
de esta sección, podrán encontrarse algunas de las ideas que el IIA plantea.
Actualmente, es común encontrar diferentes equipos de auditores internos,
especialistas en la gestión de riesgos, especialistas en control interno, inspectores de
calidad, investigadores del fraude u otros profesionales enfocados al control del riesgo
empresarial trabajando de forma conjunta y coordinada con el fin de mitigar los
principales riesgos empresariales. Los riesgos presentes en las compañías no se
encuentran centralizados sino que se extienden a lo largo de las distintas divisiones y
departamentos, es por ello que resulta fundamental una apropiada coordinación para
asegurar que los procesos y controles de riesgos funcionan de manera adecuada.
No es suficiente con la existencia de diferentes controles y funciones de riesgo. El reto
reside en alinear y coordinar sus operaciones de manera efectiva y eficiente sin crear
duplicidades en la definición de funciones y responsabilidades. Cada profesional debe
conocer sus responsabilidades y entender de manera global cómo afecta su desempeño
dentro de la estructura de control y riesgos definida. Sin cohesión y enfoques
coordinados, los controles sobre riesgos no serán efectivos, pudiendo dejar de detectar
posibles fuentes de riesgo o gestionarlos de manera equívoca.
El modelo “Tres Líneas de Defensa” proporciona una manera simple y efectiva de
mejorar las comunicaciones en la gestión y control del riesgo clarificando roles y
responsabilidades. Puede ser aplicable a cualquier tipo de compañía con independencia
del tamaño y de la existencia de un marco de riesgos definido.
En este modelo, los controles para la gestión y medición del riesgo suponen la primera
línea de defensa. La segunda de defensa estaría formada por todos aquellos controles
financieros, de seguridad, de calidad, de inspección, de supervisión y de calidad.
Finalmente, auditoría interna supondría una tercera línea de defensa que se encuentra
coordinada con las dos anteriores pero con operativa independiente.
La dirección y el área de gobierno tienen la responsabilidad de establecer los objetivos
de la organización, definiendo las estrategias para la consecución de los objetivos y
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
6
estableciendo las estructuras y procesos adecuados para gestionar los riesgos asociados
a éstos.
Imagen 3: Las Tres Líneas del Modelo de Defensa (Three Lines Model, IIA Position Paper)
Partiendo de este modelo, se dará una explicación genérica sobre las funciones de cada
una de las líneas comentadas, centrándonos especialmente en la tercera línea de
defensa, la auditoria interna.
2.1.1 PRIMERA LÍNEA DE DEFENSA: GESTIÓN OPERATIVA
En la primera línea de defensa, los directores operaciones poseen y gestionan los
riesgos. Es su responsabilidad la aplicación de acciones preventivas y correctivas para el
control de deficiencias.
La gestión operacional abarca la ejecución y el mantenimiento diario de los
procedimientos de control de riesgos. Identifica, evalúa, controla y mitiga riesgos ,
guiando la implementación y desarrollo de políticas y procedimientos internos y
asegurando que las actividades son consistentes con los objetivos marcados. Debe
existir una administración y supervisión adecuada que asegure el cumplimiento, detecte
procesos inadecuados y se anticipe posibles fuentes de riesgo.
2.1.2 SEGUNDA LÍNEA DE DEFENSA: GESTIÓN DEL RIESGO Y FUNCIONES DE
CUMPLIMIENTO Y SUPERVISIÓN
Las funciones de esta línea de defensa pueden variar dependiendo del tipo de
organización y los objetivos definidos, sin embargo, las siguientes funciones deberían
estar definidas:
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
7
Una función de dirección de riesgos (y/o comité) que facilite y monitorice la
implementación de los procesos realizados por la gestión operativa. Además,
ayudará a los propietarios de los riesgos en la adecuada definición, redacción y
transmisión a toda la compañía de los principales objetivos expuestos al riesgo.
Función de cumplimiento para monitorizar riesgos específicos asociados a leyes y
regulaciones. Dependiendo del sector y el tipo de empresa, los reportes de este
tipo de riesgos pueden dirigirse a la dirección o bien directamente al área de
gobierno.
Una función para monitorizar riesgos financieros y gestionar los reportes
financieros asociados.
Cada una de estas funciones tiene un cierto grado de independencia de la primera línea
de defensa, sin embargo, al ser funciones de dirección, deben intervenir directamente
en el desarrollo y modificación de controles internos y sistemas de riesgos. Las
responsabilidades de estas funciones pueden variar, sin embargo, podrían incluir:
Apoyo y supervisión de las políticas de dirección, definiendo roles y
responsabilidades y estableciendo los objetivos para la implementación.
Proporcionar un marco de gestión del riesgo.
Identificar casos de emergencia.
Identificar cambios en las posibles fuentes de riesgo.
Apoyar a la dirección en la definición y desarrollo de procesos y controles de
gestión de riesgos.
2.1.3 TERCERA LÍNEA DE DEFENSA: LA AUDITORÍA INTERNA
Auditoría interna aporta al órgano de gobierno y la alta dirección una garantía de
seguridad global basada en un carácter objetivo para el cual se le otorga una
independencia del resto de procesos con el fin de evitar que su implicación en los
mismos pueda condicionar las revisiones. Esta seguridad abarca, de manera trasversal,
las áreas de gobierno, la gestión de los riesgos, el control interno, los objetivos de
negocio y las estrategias de TI (sistemas, prácticas de control e iniciativas de
cumplimiento legal y regulatorio). Los procedimientos seguidos en la primera y segunda
línea de defensa se encuentran dentro del campo de actuación de auditoría. Los
reportes se realizan al órgano de gobierno y la alta dirección y habitualmente dentro de
su alcance se encuentran:
Eficiencia y eficacia de las operaciones, evaluación de sistemas de protección de
la información, confianza e integridad en los procesos de reporte, cumplimiento
con leyes, marcos regulatorios, políticas, procedimientos y contratos.
Todos los elementos de gestión de riesgos (identificación, evaluación y plan de
acción) y el marco de control interno.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
8
La entidad en su conjunto: divisiones, departamentos, unidades etc., incluyendo
tanto procesos de negocio (ventas, marketing, producción, proveedores…) como
funciones de soporte (recursos humanos, contabilidad de expedientes,
infraestructuras, inventarios…).
Las mejores prácticas recomiendan tener y fomentar un personal competente, adecuado
y objetivo para el desarrollo de las funciones de auditoría interna. Se debe:
Actuar de acuerdo a los estándares internacionales.
Reportar a alto nivel, permitiendo así su independencia del resto de áreas.
Mantener una vía de comunicación y reporte adecuada con la dirección y áreas
de gobierno. Cuanto más cerca se encuentre el área de auditoria interna a la alta
dirección, mayor será la independencia, la cobertura de actuación y la facilidad
de comunicación. El área de auditoria interna pierde valor si se encuentra,
dentro del organigrama corporativo, dependiendo de otras áreas, secciones o
departamentos.
La siguiente imagen muestra, de manera genérica, una posible organización de la
planificación de un departamento de auditoría interna:
Imagen 4: Organización auditoría interna, “Khushbu Pratap, “Best Practices for Creating an IT Internal Audit.pdf” Gartner [5]
En primer lugar, se muestran algunos ejemplos de “inputs” o entradas de información.
Como ya se ha mencionado, las coberturas de estas entradas deberían ser globales y
aplicables sobre cualquier ámbito de la empresa. Esta información está directamente
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
9
relacionada con cada una de las auditorías planificadas de forma anual en el plan de
auditoria interna. En este plan, se registran cada uno de los trabajos de revisión que se
van a llevar a cabo durante el periodo de tiempo establecido y suele someterse a la
aprobación de un comité global de auditoría. Cada una de estas auditorías, debería
poder relacionarse con objetivos y riesgos específicos de negocio. Una vez establecido el
plan de auditoría interna, se debe definir la estrategia para acometer dicho plan. Dentro
de esta estrategia, se definen, entre otros, equipos de trabajo, recursos necesarios,
plazos, procedimientos, controles, planes de auditoría… Finalmente, obtendremos una
serie de proyectos que cubrirán los objetivos inicialmente establecidos.
2.1.3.1 DEBILIDADES COMUNES DE LA AUDITORÍA INTERNA
Requerimientos de auditoría:
Son habituales casos en los cuales ciertas áreas o grupos como miembros de la junta,
organismos reguladores, proveedores o socios son excluidos de los planes de
auditoría. Esto puede provocar variaciones considerables en los resultados y las
conclusiones obtenidas.
Auditorías no basadas en riesgos:
Existen compañías en las cuales la planificación de auditorías no se basa en un
análisis de riesgos previo, sino que su planificación se realiza bajo petición y/o
controles específicos de diferentes departamentos. Este tipo de decisiones están
influenciadas por la dirección y su enfoque, en algunas ocasiones, falla al alinear el
plan de auditoría con las principales necesidades de negocio
Priorización:
Muchos equipos de auditoría fallan al no darse cuenta de la importancia del proceso
de priorización y el enfoque de cada auditoría. Este enfoque debe ir a la par que los
requisitos asociados a los riegos de TI de la compañía. Una falta de priorización
desencadena en una pérdida de oportunidades de control, cambios y/o mejoras así
como en un notable incremento del tiempo de dedicación a cada auditoría.
2.1.4 AUDITORIAS EXTERNAS Y ORGANISMOS REGULADORES
Auditorías, organismos reguladores u otras entidades externas a la propia organización
pueden tener una importancia muy relevante dentro del marco de gobierno y control
interno. Este es el caso particular de industrias reguladas tales como servicios
financieros o aseguradores (Basilea, Solvencia…). Los organismos reguladores, en
algunas ocasiones, establecen requerimientos para fortalecer los controles
organizacionales y en otras para evaluar parte o el conjunto de las tres líneas de
defensa. Cuando las acciones de los organismos externos se coordinan de manera
efectiva, se pueden considerar como una línea de defensa adicional que provee
seguridad a la dirección y el cuerpo de gobierno. No obstante, definidos los objetivos y el
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
10
alcance de trabajo, la información de riesgos proporcionada por organismos externos
suele ser menor que la reportada por las tres líneas de defensa internas.
COORDINACIÓN DE LAS TRES LÍNEAS DE DEFENSA
Debido a la organización interna de cada compañía, no un existe único modo de
coordinar las tres líneas de defensa. Sin embargo, a la hora de asignar responsabilidades,
tareas y realizar la coordinación entre las diferentes funciones de dirección de riesgos,
conviene recordar las funciones específicas de cada línea de defensa en el proceso de
gestión del riesgo:
Tabla 1: Esquema tres líneas de defensa
Las tres líneas de defensa deben existir, de una u otra forma, en todas las organizaciones
con independencia de su tamaño o complejidad. Mantener las líneas s eparadas y
claramente identificadas ayuda a fortalecer la gestión de los riesgos. Existen situaciones
concretas, especialmente en organizaciones pequeñas, en las cuales ciertas funciones se
combinan. Se dan casos en los cuales la dirección y/o área de gobierno pide a auditoría
interna que gestione y administre los riesgos. En estos casos, auditoría interna debe
comunicar el impacto que supone dicha combinación. En la medida de lo posible, debe
evitarse la dualidad de funciones.
Sin tener en cuenta la implementación del modelo, la dirección y el área de gobierno
deben comunicar de manera eficaz a toda la compañía cuales son los objetivos y que se
espera del modelo establecido, resaltando la importancia de una buena gestión de la
información compartida entre las diferentes líneas así como la coordinación de los
diferentes grupos de dirección responsables de la gestión de los controles y riesgos
corporativos.
2.1.4.1 PRÁCTICAS RECOMENDADAS
1. Los procesos de control y riesgo se deben estructurar de acuerdo al modelo
presentado de “Tres líneas de defensa”.
2. Cada línea debe estar apoyada por una definición apropiada de roles y políticas.
3. Debe existir una coordinación adecuada entre las diferentes líneas de defensa
que fomente la eficiencia y efectividad en el proceso.
Dirección OperacionalIndependencia limitada
Reportes a dirección
Auditoría interna
Mayor independencia
Reportes a el área de gobierno
TRES LÍNEAS DE DEFENSA
PRIMERA LÍNEA SEGUNDA LÍNEA TERCERA LÍNEA
Propietarios de riesgos/
gerentes
Control de riesgos y
cumplimientoGarantía de riesgos
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
11
4. Las funciones y controles de riesgo de las diferentes líneas deben compartir el
conocimiento e información lograr mayor eficiencia en el resto de funciones.
5. Las líneas de defensa no se deben combinar y coordinar de manera que se
dificulte o comprometa su efectividad.
6. En situaciones en las cuales se combinan diferentes líneas, el área de gobierno
debe ser advertida de la estructura y el impacto que supone. Asimismo, para
aquellas entidades en las cuales no se haya establecido un área de auditoría
interna, la dirección y/o área de gobierno deberá explicar a presidencia el plan
establecido para conseguir garantía y efectividad en cuanto a la gestión y control
del riesgo.
2.2 MARCOS DE REFERENCIA ACTUALES, ¿CUAL ELEGIR?
Normalmente, los equipos de auditoría y las organizaciones de TI conocen los principales
marcos y estándares internacionales, sin embargo, no siempre son capaces de obtener
el máximo rendimiento de los mismos. Beneficios como reducción de costes, agilización
de los procesos de TI y una optimización en la gestión y revisión del riesgo pueden
lograrse entendiendo el alcance de los estándares, mapeando los controles con las
necesidades reales de TI, mejorando su aplicabilidad en el contexto TI de la organización
y comprendiendo cómo reportar de manera adecuada los resultados obtenidos de la
implementación de los estándares.
Como hemos visto, el criterio establecido para la apropiada selección del estándar y/o
marco de referencia que vamos a emplear puede resultar muy relevante para los
resultados finales de la auditoría. Algunas cuestiones que podrían ayudar para la
elección de un criterio apropiado, serían las siguientes:
1. ¿Qué vamos a auditar?: Desde una visión de alto nivel, debemos ser capaces de
identificar que partes y componentes de TI van a ser revisados. Algunos ejemplos
serían: cumplimiento normativo, gestión de riesgos, gestión de la seguridad de la
información, desarrollo de software, proveedores de servicios de TI etc.
2. ¿Cómo auditar la materia?: El objetivo consiste en el entendimiento de los
conceptos y las tecnologías específicas (análisis de datos, gestión de accesos,
controles biométricos, sistemas ERP…) que van a ser auditadas. Estos conocimientos
previos son necesarios para decidir la mejor manera de llevar a cabo la auditoría y
conforme a qué estándares y controles se realizará.
3. ¿Qué y cómo reportar?: Debemos entender hacia quien se reporta y adaptar el
informe en consecuencia. El lenguaje incluido en un informe a dirección puede
diferir del empleado en un informe dirigido a un área técnica. No obstante, es una
buena práctica la redacción de informes cuya comprensión pueda realizarse por
cualquier persona con independencia de su formación técnica.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
12
4. ¿Quién se beneficia del estándar?: Todos los marcos no están destinados
exclusivamente a auditores o auditados. En muchos casos, su contenido puede
beneficiar a ambos:
a. Auditor: Plan de auditoría, planificación, controles, roles.
b. Auditado: Preparar a los auditados para un mejor entendimiento de los
enfoques de auditoría.
A continuación se incluye de manera esquemática los principales marcos, guías y
estándares que existen en la actualidad. Se encuentran resaltados aquellos cuyo
contenido ha sido de especial relevancia para la realización del presente documento:
Tabla 2: Marcos de Referencia
De acuerdo con las cuestiones anteriormente mencionadas, el análisis “IT Audit
Standards, Frameworks, and Guidelines for Auditees and Auditors” [6] de la compañía
Gartner muestra los siguientes resultados:
IT Audit and Assurance
StandardsISACA Estandar Industrial, Empresarial Global
Global Technology Audit
GuidesIIA Guía Industrial, Empresarial Global
COBIT, ITAF ISACAMarco de
referenciaIndustrial, Empresarial Global
IT Assurance Guide Using
COBITISACA Guía Industrial, Empresarial Global
COBIT Assesment
ProgrammeISACA
Modelo, guía,
herramientaIndustrial, Empresarial Procesos TI
AICPA Guide for SOC 2
ReportAICPA Guía Proveedores
Gestión de riesgos de
TI en proveedores
ISO 20000 ISO Estandar Industrial, Empresarial Gestión servicios TI
ITILUnited Kingdom´s
Cabinet Office
Marco de
referenciaIndustrial, Empresarial Gestión servicios TI
Shared Assessments Santa Fe Group Herramienta ProveedoresGestión de riesgos de
TI en proveedores
Goverment Auditing
Standards (not specific to
IT)
U.S. Government
Accountability
Office
EstandarOrganización
gubernamental
Controles de TI
relacionados con la
contabilidad
ISO 2700X ISO Estandar Industrial, EmpresarialSeguridad de la
información
GUÍA PROPIEDAD TIPO ADECUADA PARA DOMINIO IT
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
13
Imagen 5: Comparativa de marcos, guías y estándares.
Como se puede apreciar, en su mayoría los documentos que ISACA propone son guías
que pretenden beneficiar tanto al auditor como al auditado y describen, generalmente,
detalles de cómo se puede llevar a cabo el proceso de auditoría. Por el contrario, otros
marcos como las ISOs o ITIL se centran en el “qué auditar” y en un posible beneficio del
auditado más que en explicar cómo llevar a cabo dicha tarea.
Son comunes los casos donde las guías, marcos o metodologías son tan extensas que su
implantación completa supondría una inversión muy superior a los beneficios que
aportaría. Es por ello que, si bien es recomendable seguir las pautas de organismos
internacionales contrastados, no debe ser nunca motivo de “preocupación” u “obsesión”
el no seguir al completo lo expuesto en dichas guías. En otras ocasiones, las compañías
desarrollan sus propias metodologías apoyadas en los procesos y recomendaciones de
marcos internacionales.
2.3 CLASIFICACIÓN DE RIESGOS EN ENTORNOS CLOUD COMPUTING Y BYOD
Antes de realizar la clasificación del riesgo, conviene aclarar que los riesgos de los dos
entornos presentados en este trabajo se encuentran dentro del ámbito de riesgos de las
tecnologías de la información (TI).
Un riesgo, sea cual sea su tipología, se define como aquellas amenazas asociadas a
vulnerabilidades cuya explotación puede causar un impacto sobre la compañía. Si nos
centramos en el riesgo TI, se trata de un riesgo trasversal a toda la organización que
deriva del uso, propiedad, operación, distribución y la adopción de las tecnologías de la
Información. Existen diferentes metodologías para gestionar los riesgos que convergen
en la necesidad de tener un proceso estructurado, sistemático y riguroso en nuestro
plan de gestión y administración de riesgos.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
14
Imagen 6: Clasificación del Riesgo
Al tratarse de dos entornos diferentes, se ha decidido establecer un criterio común para
conseguir una clasificación homogénea de los riesgos asociados a Cloud Computing y
BYOD. Para ello, se ha realizado un análisis de riesgos según la norma ISO/IEC
27005:2008, "Information technology - Security techniques - Information security risk
management". Esta norma es una guía para la gestión de riesgos de seguridad de la
información, de acuerdo con los principios ya definidos en otras normas de la
serie 27000.
La tabla que se muestra a continuación, realiza una valoración de los riesgos basada en
dos parámetros:
1. Probabilidad de que el riesgo se materialice.
2. Impacto que causaría sobre los activos de la organización.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
15
ISO/IEC 27005:2008 Probabilidad
Muy baja
Leve Media Alta Muy Alta
Impacto
Muy bajo 0 1 2 3 4
Leve 1 2 3 4 5
Medio 2 3 4 5 6
Alto 3 4 5 6 7
Muy alto 4 5 6 7 8
Tabla 3: Estimación Riesgo ISO/IEC 27005:2008
Para cada uno de estos parámetros, se establecen los siguientes niveles:
Tabla 4: Niveles
Para comprender la tabla anterior, se hace necesario explicar los diferentes umbrales
establecidos para la probabilidad y el impacto así como los valores del riesgo obtenidos
en la matriz.
A continuación se detalla, para cada umbral, qué implicaciones podría tener sobre
nuestra compañía:
Alta 3
Muy Alta 4
Niveles
Muy Bajo 0
Leve 1
Media 2
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
16
Efecto en caso de materialización
Impacto Valor Descripción
Alto 3-4
Efecto alto en los servicios de la organización
Degradación de activos mayor del 60%
Visibilidad alta en cliente
Afecta a la productividad a más del 50% de los empleados
Compromete la entrega del ANS del cliente
Medio 2
Afecta a los servicios de la organización
Degradación de activos entre el 30% y 60%
Visibilidad baja en cliente
Afecta a la productividad de menos del 50% de los empleados
Puede comprometer la entrega del ANS del cliente
Asumible 0-1
Efectos aislados en el funcionamiento de la organización
Degradación de activos < 30%
Visibilidad baja en cliente
Afecta a la productividad de menos del 5% de los empleados
No compromete la entrega del ANS del cliente Tabla 5: Efecto en caso de materialización
Valoración de la Probabilidad
Probabilidad Valor Descripción
Alta 3-4 Depende de la relación entre la vulnerabilidad y la amenaza con el
entorno alrededor del activo Media 2
Baja 0-1 Tabla 6: Valoración de la Probabilidad
Finalmente, la valoración del riesgo obtenido, se interpreta de la siguiente manera:
Valoración del Riesgo
Riesgo Valor Acción
Alto 6-8 Mitigación inmediata
Medio 3-5 Tratar de mitigarlo/Transferirlo
Bajo 0-2 Asumible Tabla 7: Valoración del Riesgo
Cabe destacar que, una vez establecidos los valores del riesgo, pueden ser reducidos
mediante el uso de salvaguardas, si bien el ámbito de las mismas queda fuera del
alcance del presente proyecto.
En los apartados 2.4.4.1 y 2.5.5.4 se realiza la clasificación del riesgo para entornos Cloud
Computing y BYOD. Para su comprensión, es necesario entender la metodología
expuesta anteriormente.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
17
2.4 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING
2.4.1 INTRODUCCIÓN AL CLOUD COMPUTING
El Cloud Computing se refiere a la tendencia que permite al usuario acceder a un
catálogo de servicios estandarizados y responder a las necesidades de su negocio, de
forma flexible y adaptativa. Estos entornos están en alza en nuestros días en dónde las
empresas utilizan los recursos que los proveedores de Cloud ofrecen.
Algunas de las ventajas que estos entornos permiten son las siguientes:
1. Flexibilidad: Las soluciones Cloud se caracterizan por su alta escalabilidad, crecen
y se modifican en función de las necesidades de cada proyecto en tiempo real.
Esto permite ofrecer servicios evolutivos y soportar aumentos de carga
considerables.
2. Potencia: Dependiendo del proveedor, las infraestructuras Cloud suelen ofrecer
soluciones potentes de máximo rendimiento sin requerir inversiones de
despliegue y/o mantenimiento. Cada servicio obtiene el cómputo necesario en
cada momento. En definitiva se trata de servicios granulables que permiten
contratar recursos (CPU, RAM, almacenamiento) en periodos de tiempo
determinados.
3. Estabilidad: Muchos de los servidores Cloud se apoyan sobre una estructura de
hardware común si bien a nivel de sistema operativo cada uno conforma una
máquina independiente. Esto permite fortalecer las medidas de seguridad y
estabilidad usando sistemas como: balanceadores de carga, sistemas de
almacenamiento, recuperación automática, sistemas replicados …
4. Ahorro: Existen diversas formas de facturación en función de las necesidades
particulares de cada cliente. Es común la facturación por el uso del servicio,
ahorrando los costes derivados del hardware, de la disposición de un entorno
físico apropiado para el correcto funcionamiento de todos los sistemas
(refrigeración, sistemas anti-incendios…) y de mantenimiento. Además, también
se reducen costes en cuanto a licencias de Software. Uno de los principales
objetivos en las migraciones hacia sistemas en la “nube” es conseguir reducir
gastos a través del aprovechamiento de las estructuras y la energía.
Sin embargo no todo son ventajas, presentan también riesgos que serán analizados en
este documento. Antes de ello, es necesario describir las diferentes posibilidades que se
ofrecen a las empresas para migrar sus aplicaciones a la nube. Se detallarán los
diferentes modelos de despliegue de los mismos que pueden ser; públicos, privados o
híbridos. No todos los modelos de despliegue para entornos Cloud presentan los mismos
riesgos, por lo que es necesario clasificarles.
Una vez presentados las diferentes características de los cada uno de los entornos, se
mostrarán los diferentes riesgos existentes en los entornos de Cloud Computing.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
18
2.4.1.1 MODELOS DE DESPLIEGUE
Los modelos de despliegue son las diferentes posibilidades que se ofrecen a los clientes
a la hora de elegir el Proveedor de Servicios del Cloud CSP (Cloud Service Provider). La
agencia NIST define cuatro posibles modelos de despliegue: privados, públicos, híbridos
o comunitarios. En este documento sólo nos centraremos en los modelos privados y
públicos.
Los modelos de despliegue privados, usan aplicaciones virtualizadas donde la
información de la empresa se encuentra dentro de los CPDs de la empresa o en
servidores contratados a terceros. Este modelo privado de Cloud, presenta unos riesgos
similares a los entornos de datos tradicionales.
Por otro lado, en un modelo público, muchos clientes (diferentes) utilizan los mis mos
recursos que ofrece el proveedor de servicios de Cloud compartiendo servidores. En este
caso los clientes comparten el mismo CPD donde se encuentran las aplicaciones y datos
que necesita cada uno de los clientes. La localización de los servidores del proveedor de
Cloud está continuamente cambiando, y los datos almacenados se encuentran en la
nube donde no se sabe cuál es su localización.
Cuando un gran número de usuarios comparten los mismos recursos, resulta complejo
establecer perímetros entre los usuarios y las diferentes necesidades que necesitan en
términos de virtualización. Establecer estos límites o perímetros entre los usuarios,
compartiendo los mismos recursos es complicado, y además presenta un riesgo mucho
mayor en los modelos públicos.
Llegado a este punto es fácil ver que los riesgos en los modelos públicos desplegados en
la nube son mucho más significativos y diferentes que los riesgos existentes en entornos
Cloud privados que son más similares a los entornos de datos tradicionales.
Una comparación de un entorno público, puede ser visto como el transporte público,
donde cada uno de los usuarios tiene un billete con características diferentes. Sin
embargo, los usuarios comparten el mismo medio de transporte, donde cada uno lleva
datos personales de valor.
2.4.1.2 MODELOS DE SERVICIO
Los clientes de Cloud Computing deben de estar al tanto de todos los riesgos que
pueden padecer. Estos riesgos pueden variar en función del tipo de servicio contratado. A
grandes rasgos, existen tres tipos de servicios Cloud: Infrastructure as a service (IaaS),
Platform as a service (PaaS), y Software as a Service (SaaS). En muchos casos, los
controles sobre los riesgos a tener en cuenta están compartidos entre los proveedores
de los servicios y los clientes. En las ilustraciones 7 y 8 puede verse una explicación de
los diferentes tipos de Cloud y los diferentes modelos que pueden prestar.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
19
Los proveedores de servicios de Cloud y los clientes establecen responsabilidades
compartidas entre los riesgos, y estas responsabilidades varían. Estas variaciones se
deben a los servicios del cliente, el proveedor del Cloud, los requisitos del cliente para el
entorno Cloud y las consideraciones de seguridad para el cliente de migrar los datos a un
entorno Cloud.
En general, un servicio del tipo IaaS, los proveedores ofrecen a sus clientes un entorno
físico básico, dotados con servicios seguros, es decir, en los servidores se encuentran
sistemas de detección de intrusos, sistemas de prevención de intrusión, monitorización
e información sobre la seguridad y gestión de eventos (SIEM).
Por otro lado un servicio PaaS, ofrece al cliente la posibilidad de desarrollar aplicaciones
creadas por bajo entornos de desarrollo o herramientas soportadas por el proveedor.
El tercero modelo Saas, los clientes pueden usar aplicaciones que corren dentro del CSP.
Estas aplicaciones son accesibles a través de diferentes dispositivos o desde el
navegador, como el correo electrónico.
Imagen 7: Modelos de Servicio
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
20
Imagen 8: Diferentes Entornos de Cloud,
basado en Visual Model Of NIST Working Definition Of Cloud Computing [7]
2.4.2 DOCUMENTACIÓN DE REFERENCIA
2.4.2.1 ENISA
"European Network and Information Security Agency" (ENISA) es la Agencia Europea de
Seguridad de las Redes y de la Información cuyo objetivo es mejorar las redes y la
seguridad de la información. Dentro de la información disponible de ENISA cumpliendo
sus objetivos, dispone de documentación acerca de los entornos de Cloud Computing. El
documento que se va a comentar en este punto es el siguiente “Cloud Computing -
Benefits, risks and recommendations for information security” [8].
Este documento ha sido desarrollado por un gran grupo de expertos de los entornos de
Cloud Computing, que representan diferentes Industrias u organizaciones, donde han
tratado de contextualizar los diferentes riesgos existentes de los entornos Cloud. El
resultado de este informe es un estudio en profundidad y un análisis sobre los beneficios
en y los riesgos desde una perspectiva de la seguridad de la información en los entornos
de Cloud Computing. Este informe es también una guía con recomendaciones de ENISA
para aplicar en entornos de Cloud Computing.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
21
2.4.2.2 Cloud Computing Alliance (CSA)
“Cloud Security Alliance”(CSA) es una organización sin ánimo de lucro con la misión de
promover el uso de buenas prácticas con el fin de ofrecer seguridad dentro de los
entornos de Cloud Computing, además de dar una “educación” sobre los usos de los
entornos Cloud, ayudando a establecer entornos de Cloud más seguros. La CSA está
liderada por una amplia coalición de industrias, asociaciones y corporaciones
relacionadas con los Cloud.
La CSA tiene unos 40000 miembros afiliados en todo el mundo, esta organización obtuvo
una gran popularidad en el 2011 cuando la Casa Blanca seleccionó a CSA como centro
para anunciar las estrategias del gobierno en los entornos de Cloud Computing.
CSA dispone de una gran variedad de documentos para los entornos Cloud Computing,
tanto a nivel de guías de referencia, controles de seguridad e investigaciones sobre
entornos Cloud.
El documento que vamos a tomar como referencia es el siguiente "Guía para la
Seguridad en áreas críticas de atención en Cloud Computing, V2.1” [9] que contiene las
claves a tener en cuenta para comprender los principios y procesos que rigen el Cloud
Computing, los modelos a los que el Cloud Computing se acoge, y sobre todo, las áreas
críticas que se deben tener en cuenta y las medidas que deberían tomar los
responsables de seguridad de la información para que las organizaciones puedan
trabajar “en la nube” con la máxima garantía y confianza y los mínimos riesgos posibles.
2.4.2.3 NIST
"National Institute of Standards and Technology" (NIST) es una agencia de la
Administración de Tecnología del Departamento de Comercio de los Estados Unidos. Su
misión es la promover la innovación y la competencia industrial mediante avances en
normas, metrología y tecnología.
NIST también tiene documentación sobre los entornos de Cloud Computing que merece
la pena mencionar en este trabajo. Los documentos son los siguientes: "NIST Cloud
Computing Reference Architecture" [10] "Recommended Security Controls for Federal
Information Systems and Organizations" [11]. Estos documentos son más genéricos que
los anteriores, describiendo los entornos Cloud y dando unas recomendaciones
genéricas, sin embargo son informes a los que se hace referencia cuando se habla de
entornos de Cloud Computing y que se han utilizado para la realización del trabajo.
2.4.3 CERTIFICACIONES
Entre las diferentes certificaciones existentes especializadas dentro de los entornos
Cloud, merece la pena comentar la certificación “CCSK Certification Board” que será
tratada en el siguiente apartado.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
22
2.4.3.1 Certificate of Cloud Security Knowledge
“Certificate of Cloud Security Knowledge”(CCSK) es una certificación que pertenece a la
organización CSA. Esta certificación proporciona una formación y una certificación de
profesionales para asegurar que el Cloud Computing se lleve bajo unos controles de
seguridad adecuados.
Esta certificación toma como documentación de referencia dos documentos
importantes dentro de los entornos Cloud. El primer documento es la "Guía para la
Seguridad en áreas críticas de atención en Cloud Computing, V2.1”, este documento
pertenece a la CSA. El otro documento es "Cloud Computing: Beneficios, Riesgos y
Recomendación para la Seguridad de la Información" de ENISA. Estos documentos
constituyen una gran contribución a la seguridad en la base de conocimientos de Cloud
Computing.
La certificación CCSK se obtiene completando un examen que comprende los conceptos
fundamentales de la Guía CSA y el documento de ENISA.
2.4.4 RIESGOS DEL CLOUD COMPUTING
Entre la inmadurez de la industria y la falta de modelos estándar de Cloud, hay una
disparidad muy amplia de la cualidad y la madurez de los controles de riesgo de los CSPs.
Los clientes de Cloud necesitan ganar una visión más amplia del alcance y los detalles
específicos de los controles de seguridad que los CSPs proveen. Durante las
negociaciones, se deben especificar responsabilidades sobre los riesgos y los CSPs deben
ser capaces de determinar las necesidades de cada uno de los riesgos y las decisiones
que se deben tomar si se adecuan a los intereses de los clientes y cubren las necesidades
de los riesgos.
Las herramientas y procesos que actualmente se llevan a cabo para ofrecer eficiencia y
deben ser implementados son:
Control de identidades y accesos
Controles sobre la seguridad física
Sistemas para el control de cambios
Programas para el desarrollo del ciclo de vida
Recuperación en caso de desastre
Controles perimetrales
Prevención de pérdida de datos
Firewalls
IPS
Sistemas SIEM (pueden que no sean tan efectivos) pues los datos que estaban
siendo monitorizados internamente ahora se han movido fuera.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
23
Estos cambios requieren cambios en los procesos y procedimientos para asegurar que
los incidentes sobre la seguridad no ocurran.
Para cada proceso de migración al Cloud es muy importante entender primero qué
información va estar en el Cloud, dónde va estar dicha información y cuál es impacto de
que haya una brecha en la seguridad. Es necesario tener un inventario de la información,
que esté clasificada y etiquetada. Toda información que no está controlada por la
empresa, y que puede ser accedida de forma incontrolada, pasa de ser una información
valiosa a algo que no merezca la pena guardar, dado que se ha podido acceder a una
información alguien que no estaba autorizado para hacerlo. Es especialmente crítico que
los responsables de los datos entiendan que los datos que actualmente están alojados
dentro de la empresa, pueden ser movidos a un entorno Cloud, a la hora de establecer
los controles necesarios de acceso a la información.
A continuación se van a enumerar los diferentes riesgos que se presentan en los
entornos Cloud, y una descripción de los mismos.
1. Pérdida del gobierno de los datos. Al estar los datos en un servidor externo de la
empresa el cliente pierde el control de los datos y por lo tanto puede generar
incompatibilidades con requisitos de confidencialidad, integridad y disponibilidad
de los datos.
2. Adquisición del proveedor del Cloud . Puede que se produzcan cambios en la
estrategia del proveedor del Cloud y pueda amenazar los acuerdos tomados que
se habían tomado con el cliente. El impacto final podría generar desconfianza en
el cliente sobre ciertos activos cruciales.
3. Error o cancelación del servicio de la nube. Siempre que se haya contratado el
servicio Cloud con un proveedor externo, este proveedor puede dejar de prestar
el servicio Cloud en cualquier momento afectando a los servicios o datos que
esos clientes tienen en el servido.
4. Falta de recursos de la nube. Los servicios de la nube es un servicio que se ofrece
bajo demanda, es decir, que los recursos que necesita el cliente se van asignando
según estadísticas. Un modelo que no haga una buena previsión de los recursos
que se necesitan, puede llevar a grandes pérdidas. Por un lado, una estadística
sobredimensionada puede llevar a pérdidas económicas del proveedor del Cloud
y que deje de prestar el servicio de una forma adecuada. Por otro lado, si la
previsión se queda corta, no se ofrecerán todos los recursos que el cliente
necesita.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
24
5. Proveedor del Cloud malicioso con abuso de sus altos privilegios. El entorno del
Cloud, cuenta con unas estructuras que hay que mantener, estas estructuras
están mantenidas por unos administradores que pueden tener uso privilegios
altos que pueden comprometer la confidencialidad y la integridad de los datos.
6. Interceptar datos en la subida o bajada de la información. Dentro de la
arquitectura Cloud, los datos se suben o se bajan de los servidores Cloud, según
las necesidades del cliente. Para ello es necesario disponer de una conexión
entre el servidor y los clientes. Esta conexión es uno de los puntos que hay que
vigilar ya que estos datos que viajan entre clientes y servidores pueden ser
interceptados por terceras personas, comprometiendo la confidencialidad de los
datos.
7. Fugas de información en los movimientos de datos dentro del ento rno Cloud.
La arquitectura Cloud es una arquitectura distribuida. Esto implica que hay un
tránsito mayor de los datos dentro de los servidores que forman el Cloud.
Durante este tránsito de información hay que vigilar que no haya pérdidas de
información, los datos dejen de estar disponibles durante un tiempo o los datos
puedan estar interceptados como en el riesgo 6.
8. Eliminar los datos de una forma insegura o ineficaz. La información se almacena
en dispositivos hardware, estos datos pueden reubicarse a lo largo de su vida
útil, pasando por diferentes dispositivos. Si estos dispositivos no se tratan de
forma correcta los datos pueden estar disponibles más tiempo que el
especificado en la política de seguridad. Lo mismo podría ocurrir si se quiere
suprimir los datos de forma definitiva, sería necesario especificar procedimientos
especiales para que esos datos fuesen eliminados completamente.
9. Distribución de Denegación de Servicio (DDoS)1. Este tipo de riesgo siempre está
presente en servicios que se encuentran en la red y por lo tanto también en los
entornos Cloud.
10. Denegación Económica de servicio (EDoS)2. El dinamismo de los entornos Cloud
a la hora de asignar los recursos que son necesarios implica un cambio en el
coste de servicio. Un ataque de tipo EDoS, es cuando el cliente no puede hacer
frente al gasto extra que supone que supone esa ampliación de los recursos que
necesita. Los ataques de EDoS destruyen los recursos económicos; el peor
escenario sería la quiebra del cliente o un impacto económico grave.
1 DDoS: Ataque Distribuido de Denegación de Servicio (Distributed Denial of Service)
2 EDoS: Denegación Económica de Servicio (Economical Denial of Service)
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
25
11. Perdidas de las claves de codificación. Divulgación de las claves secretas (SSL,
codificación de archivos, etc.) o las contraseñas, la pérdida o corrupción de
dichas claves o su uso indebido para la autentificación y el no repudio.
12. Riesgos derivados del cambio de jurisdicción. Los datos de los clientes pueden
albergarse en múltiples jurisdicciones, que pueden ser de alto riesgo o no
cumplan las políticas de la empresa. Es decir, que si los datos están ubicados en
países de alto riesgo en los que no impera un estado de derecho o no respetan
los acuerdos internacionales, los datos o sistemas podrían ser divulgados o
confiscados por la fuerza. Lo que pondría en compromiso la confidencialidad de
los datos.
13. Riesgos de la protección de datos. Los entornos Cloud presentan riesgos para la
protección de datos tanto para los clientes como para los proveedores del Cloud.
Puede resultar costoso para los clientes comprobar que el procesamiento de
datos que lleva a cabo el proveedor se hace de forma conforme con la ley. El
cliente es el responsable del procesamiento de esos datos personales, aunque el
servicio lo preste un proveedor de Cloud.
14. Riesgos relativos a la licencia. Las condiciones con los que se adquieren las
licencias para trabajar en los programas en las maquinas físicas, pueden no ser
válidas cuando se trata de servicios en la nube o tengan unos costes mucho más
elevados.
15. Brechas en la red. En el caso de que el servicio de la nube tenga un fallo, son
muchos los usuarios que se ven afectados por ese fallo simultáneamente.
16. Gestión de la red. Es uno de los puntos más importantes que hay que controlar,
tanto la configuración como la monitorización. Una red congestionada o con
fallos, da lugar al que el servicio Cloud no se ofrezca de la forma correcta.
17. Modificación del tráfico de la red.
18. Escalada de privilegios. Al encontrarse los usuarios compartiendo los datos en el
mismo servidor de Cloud, una mala asignación de los permisos a los usuarios
podría dar a que los usuarios puedan acceder a datos a los que no tienen
privilegios.
19. Ataques de ingeniería social (suplantación). Este tipo de ataques consiste en
obtener información confidencial a través de la manipulación de usuarios
legítimos.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
26
20. Pérdida o robo de las copias de seguridad.
21. Acceso no autorizado a los locales. Los proveedores de la nube suelen
concentrar grandes centros de datos, por lo que requieran de un mayor número
de personas que tengan que acceder físicamente a ellos, comprometiendo la
seguridad de los mismos.
22. Robo de equipos informáticos.
23. Catástrofes Naturales. Es un riesgo que hay que tener siempre en cuenta cuando
se habla de equipos informáticos y que se tienen que encontrar en un lugar
seguro.
24. Conflictos entre los usuarios en el endurecimiento de las políticas del Cloud.
25. Desafíos de Cumplimiento. El proveedor de Cloud no es capaz de demostrar que
cumple los requisitos acordados.
2.4.4.1 CLASIFICACIÓN DEL RIESGO
Una vez presentados los riesgos es necesario valorar los mismos. Para ello se tomará
como base la tabla definida en el apartado 2.3. A través de la valoración de la
probabilidad de ocurrencia así como del impacto que podría causar el riesgo en caso de
materializarse, obtendremos un nivel final para cada uno de los riesgos previamente
identificados. Esta valoración se ha realizado según el documento “Cloud Computing -
Benefits, risks and recommendations for information security” [8] donde se detalla una
descripción de las vulnerabilidades y los activos que se ven afectados para cada riesgo.
A continuación se detalla la valoración final para cada uno de los riesgos identificados en
el apartado 3.1.4.
CLOUD COMPUTING
VALORACIÓN RIESGOS
ID Riesgo Probabilidad Impacto Valoración
Riesgo
1 Pérdida del gobierno de los datos 4 4 8
2 Adquisición del proveedor del Cloud N/A 2 2
3 Error o cancelación del servicio en la nube N/A 4 4
4 Falta de recursos de la nube 1 2 3
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
27
CLOUD COMPUTING
VALORACIÓN RIESGOS
ID Riesgo Probabilidad Impacto Valoración
Riesgo
5 Proveedor del Cloud malicioso con abuso de sus
altos privilegios 2 4 6
6 Interceptar datos en la subida o bajada de la
información 2 3 5
7 Fugas de información en los movimientos de
datos dentro del entorno Cloud 2 3 5
8 Eliminar los datos de una forma insegura o
ineficaz 2 4 6
9 Distribución de Denegación de Servicio (DDoS) 2 1 3
10 Denegación económica de servicio (EdoS) 1 3 4
11 Perdidas de las claves de codificación 1 3 4
12 Riesgos derivados del cambio de jurisdicción 4 3 7
13 Riesgos de la protección de datos 3 3 6
14 Riesgos relativos a la licencia 2 2 4
15 Brechas en la red 1 4 5
16 Gestión de la red 2 4 6
17 Modificación del tráfico de la red 1 3 4
18 Escalada de privilegios 1 3 4
19 Ataques de ingeniería social (suplantación) 2 3 5
20 Pérdida o robo de las copias de seguridad 1 3 4
21 Acceso no autorizado a los locales 0 3 3
22 Robo de equipos informáticos 0 3 3
23 Catástrofes Naturales 0 3 3
24 Conflictos entre los usuarios en el
endurecimiento de las políticas del Cloud 1 2 3
25 Desafíos de Cumplimiento 4 3 7
Tabla 8: Valoración de los Riesgos Cloud Computing
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
28
2.5 AUDITORÍAS BYOD (BRING YOUR OWN DEVICE)
2.5.1 INTRODUCCIÓN AL BYOD
El término BYOD (Bring Your Own Device) procede del concepto de “consumerización”
[12]3. Dicho concepto hace referencia a la tendencia creciente de las tecnologías de la
información para emerger en el mercado de consumo y propagarse a empresas y
organizaciones gubernamentales.
Así pues, BYOD es un efecto lateral de la consumerización, pues consiste en que los
trabajadores de la organización llevan al trabajo sus propios dispositivos móviles con sus
datos, aplicaciones y sus espacios de trabajo (unificando el uso personal con el laboral).
Actualmente BYOD no sólo hace referencia a los dispositivos electrónicos en sí
(smartphones, tablets, portátiles), sino también a servicios web, redes sociales (desde
Facebook a Dropbox) y servicios de correo electrónico.
Dejando de lado los tipos de negocios de cada empresa y casos particulares, las ventajas
para las empresas vienen dadas directamente de las que reciben sus empleados. Al
utilizar estos sus propios dispositivos para trabajar, estos utilizan un entorno tecnológico
al cual ya están acostumbrados y que llevan consigo en todo momento, pudiendo así
responder rápidamente ante cualquier situación que se presente, resultando de esta
forma más cómodo para el trabajador realizar sus tareas.
La razón por la que muchas empresas están adoptando el fenómeno BYOD es simple, y
siempre la misma: se mejora la productividad de los empleados, ya que utilizan sus
propios dispositivos, con los que están familiarizados, y se reducen costes al no tener
que adquirir dichos dispositivos. No obstante, las herramientas de Cloud Computing
permiten que la empresa pueda ofrecer el mismo acceso al empleado, sin importar qué
dispositivo utilice, facilitando a su vez el manejo y la seguridad de la información, sin ser
necesario que cada dispositivo aloje la información sensible de la empresa para poder
trabajar con ella.
También es cierto que el BYOD no está exento de riesgos ya que al utilizar dispositivos
propios para acceder a redes corporativas, se usa un software que puede no ser el
recomendado por la empresa. El comportamiento de los empleados puede llegar a
escaparse del control del departamento de TI. Estas redes corporativas contienen
información muy importante para las empresas y su seguridad es una prioridad, por lo
que es necesario asegurar la seguridad de los sistemas desde dentro, logrando que todo
el entorno esté altamente protegido, sin importar desde dónde se haga el acceso a la
información.
3 [12] A. Scarfo, “New Security Perspectives around BYOD,” in Broadband, Wireless Computing,
Communication and Applications (BWCCA), 2012 Seventh International Conference on , 2012, pp. 446–451.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
29
Que los empleados utilicen sus propios dispositivos para el trabajo es algo que debe
estar controlado en todo momento [13]4. La implantación de esta tendencia debe estar
muy bien planificada, por ello se debe conocer y entender las necesidades de los
empleados, valorando la practicidad y efectividad de implementar un plan de BYOD.
Actualmente, la posición de las empresas respecto a esta tendencia es muy dispar [14]5.
Existen casos distantes en los cuales se considera que la adopción del BYOD supone una
fuente de riesgo y un desembolso que supera al retorno ofrecido, en estos casos se
deriva del concepto de “Bring Your Own Device” el concepto de “Bring Your Own
Disaster”. Otras en cambio, han decido restringir BYOD a ciertos entornos corporativos y
dispositivos, limitando el alcance y el acceso sobre la información sobre grupos
específicos tales como la dirección. La tercera postura, es la de permitir el acceso a la
información desde cualquier dispositivo a cualquier empleado. Esta posición exige unas
medidas de seguridad muy estrictas.
Imagen 9: Restricciones BYOD
Es por ello que la adaptación de esta tendencia trae consigo un cambio en el paradigma
de gestión de la seguridad de la información en las empresas, ya que abarca una amplia
variedad de dispositivos, aplicaciones y sistemas operativos que deben manejarse. Sea
cual sea la opción seleccionada, la empresa siempre debe tener el control de su
información y la traza de la misma nunca debe perderse.
4 [13] K. W. Miller, J. Voas, and G. F. Hurlburt, “BYOD: Security and Privacy Considerations,” IT
Professional, vol. 14, no. 5, pp. 53–55, 2012. 5 [14] “Cisco Study: IT Saying Yes To BYOD.” 16-May-2012.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
30
2.5.2 PRINCIPALES RETOS DEL BYOD
2.5.2.1 GESTIÓN DE RIESGOS
Un punto muy importante a la hora de garantizar la seguridad de la información de una
empresa es una adecuada gestión de los riesgos. Para ello necesitamos conocer los
activos de información con que cuenta la empresa. Los análisis de riesgos parten de
clasificarlos activos según su sensibilidad, qué niveles de protección requieren, qué
información puede y debe ser accesible para el entorno laboral y a cual se le debe
restringir el acceso.
A partir de este análisis se llega a establecer qué medidas de control son las más
adecuadas para garantizar la seguridad de información, que van desde dispositivos o
medidas tecnológicas como por ejemplo soluciones antivirus, DLP, VPN, Firewall, IDS,
IPS, entre otros, hasta el establecimiento de políticas para la gestión de los dispositivos,
donde se determina qué tipo de dispositivos y aplicaciones es posible utilizar por los
empleados.
2.5.2.2 TELETRABAJO
Al ser posible el manejo de la información laboral en dispositivos personales, otras
oportunidades como la posibilidad de trabajar desde cualquier lugar en cualquier
momento (movilidad persistente) tienen un impulso importante. Este tipo de
oportunidades hace que las empresas consideren en sus análisis de riesgos implicaciones
legales que pudieran llegar a tener. Por ejemplo, que el empleado utilice sistemas
operativos o aplicaciones no licenciadas para la manipulación de la información laboral.
Este tipo de tendencia fomenta una conexión constante con el ámbito laboral
garantizando así un compromiso mayor por parte de los empleados con el desempeño
de las actividades laborales, además de promover la comodidad y libertad de éstos. Esto
alimenta la satisfacción de los empleados con respecto a sus obligaciones aumentando
la relación entre lo lúdico y lo profesional.
2.5.2.3 DISPOSICIÓN DE LA INFORMACIÓN
Si el empleado manipula la información de la empresa en su dispositivo, debe estar claro
cuál será la disposición de la misma una vez terminada la relación contractual, debido a
que es muy complicado tener la seguridad de que esta información será eliminada. Es
necesario tener siempre presente que este tipo de información se puede descargar y
manipular desde dispositivos personales. Además, aspectos contractuales como la firma
de acuerdos de confidencialidad se hacen indispensables para actuar en caso de que la
información sea expuesta. Son comunes casos donde se firman políticas en las cuales se
adquiere el compromiso de que en caso de fin contractual y/o robo del dispositivo, el
empleado acepta que dicho dispositivo sea borrado por completo, perdiendo toda la
información de carácter personal que pudiera contener.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
31
2.5.2.4 GESTIÓN DE APLICACIONES
Uno de los retos más importantes para las empresas es la gran diversidad de
aplicaciones que un empleado pudiera llegar a tener instalado en sus dispositivos. El
desafío para las empresas, radica entonces en asegurar que los dispositivos de los
empleados usados para acceder a la información laboral no utilicen aplicaciones que
puedan poner en peligro la integridad de dicha información.
Al mismo tiempo es necesario que la empresa diferencie el uso de sus recursos por parte
de los empleados a través de sus dispositivos personales. En estos casos la gestión de los
recursos de red es básica para impedir la intrusión ilegal en los sistemas de la empresa.
Queda muy claro en este punto que cuando se habla de BYOD se hace referencia a una
tendencia consolidada y ante la cual las empresas deben tomar una posición al respecto.
La implantación de esta tendencia puede traer grandes beneficios a la empresa,
relacionados a la reducción de gastos en infraestructura, la comodidad de los
empleados para el manejo de la información y por lo tanto un aumento en la
productividad, pero a su vez, enfrentan nuevas amenazas que deben ser gestionadas.
Para hacer frente a estos retos, las empresas deben de establecer una mezcla entre
políticas claras para el manejo y control de la información y el uso de herramientas y
tecnologías adecuadas que permitan gestionar la seguridad de la información en todo
momento. Todo esto debería estar alineado con los objetivos del negocio, pues
cualquier decisión que se tome debe estar enfocada en aumentar la productividad y
hacer más ágiles y seguros los procesos internos. Además, se debe complementar con
un adecuado plan de divulgación y educación para todos los niveles de la organización,
logrando así el conocimiento de las restricciones y el correcto manejo de la información
para garantizar la efectividad del trabajo realizado.
2.5.2.5 GESTIÓN DE AUTORIZACIONES
Las empresas deben establecer un criterio firme para decidir que usuarios están
autorizados a utilizar dispositivos personales. Estas necesidades suelen darse en forma
de peticiones de los empleados, como requisitos para ciertos ámbitos o funciones
concretas, como respuesta ante posibles riesgos o bien, de forma genérica, como
combinación de todas o algunas de las anteriores.
2.5.2.6 DISPOSITIVOS PERMITIDOS
En situaciones en las cuales las aplicaciones se instalan sobre los dispositivos, se deben
establecer especificaciones en cuanto al tipo de soporte sobre el sistema operativo,
aplicaciones, rendimientos u otros posibles criterios. Soluciones como la virtualización
suelen eliminar estas consideraciones en tanto en cuanto se puede acceder a cualquier
puesto de trabajo desde cualquier dispositivo.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
32
2.5.2.7 DISPONIBILIDAD DE SERVICIOS
BYOD no tiene por qué tratarse de una tendencia en la cual decidamos permitir/no
permitir el acceso a todos/ningún dispositivo. Soluciones intermedias suelen ser las más
adecuadas. Para ello, se deben pensar qué servicios específicos se van a poner al servicio
de BYOD y sobre que grupos/tipos de usuarios y dispositivos se va a aplicar, además de
consideraciones relativas al conjunto de la red disponible.
2.5.2.8 IMPLANTACIÓN Y DESPLIEGUE
Una vez diseñado el plan de actuación e implantación del nuevo paradigma de TI, la
comunicación resulta vital para su correcta aplicación. Se deben hacer llegar
instrucciones detalladas a los empleados para comunicarles el nuevo sistema así como
las condiciones bajo las cuales se llevará a cabo. Se deben transmitir las
responsabilidades que implican el uso de dispositivos personales y los riesgos asociados
a los mismos. Las políticas de uso de la información deberían s er uniformes tanto para
dispositivos BYOD como para sistemas corporativos.
2.5.2.9 GESTIÓN DE COSTES Y MANTENIMIENTO
Como ya se ha introducido, una de las principales ventajas del BYOD es la reducción de
costes haciendo que los usuarios compartan o asuman en su totalidad los costes
derivados de los dispositivos móviles evitando que el departamento de TI cargue con la
responsabilidad de aprovisionar, mantener y renovar dichos sistemas.
Una política adecuada de BOYD debe especificar claramente cómo se llevarán a cabo y
quien deberá hacerse cargo de los costes asociados a intervenciones de soporte y
mantenimiento. En el proceso de sustitución de un dispositivo corporativo por uno
personal, se puede esperar que el soporte lo proporcione la entidad corporativa. Es por
ello que se deben especificar claramente las condiciones con el fin de que la carga de
trabajo sobre los departamentos de sistemas y/o TI no aumente de manera exponencial.
2.5.2.10 SEGURIDAD Y CONFORMIDAD
En situaciones concretas donde la información necesite estar presente en los
dispositivos personales (por ejemplo peticiones de la dirección) los datos pueden ser
protegidos por mecanismos de aislamiento tales como cifrado o borrado/desactivación a
distancia en caso de pérdida o extravío. Para evitar extracciones indebidas, pueden ser
deshabilitados medios de impresión o de almacenamiento locales como unidades USB.
En los casos en los cuales se utilizan sistemas gestionados, los departamentos
responsables administran directamente los dispositivos BYOD, incluyendo la validación,
autorización y acceso a los recursos. El coste de esta solución no solo se multiplica sino
que además es proporcional al crecimiento de la entidad.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
33
2.5.3 DOCUMENTACIÓN DE REFERENCIA
Por ser un fenómeno reciente, apenas podemos encontrar marcos de referencia para
este nuevo paradigma/modelo. Sin embargo sí que existen bastantes políticas definidas
y aplicaciones de gestión de los dispositivos diseñadas por diferentes empresas.
Igualmente en el ámbito de la investigación se pueden encontrar distintas guías para
definir un buen plan de gestión de la seguridad en lo que a BYOD se refiere. A
continuación se presentan algunas de las soluciones más representativas:
2.5.3.1 CISCO
Cisco Bring Your Own Device (BYOD) Smart Solution Design Guide [15] es el nombre de la
solución que ofrece Cisco y, posiblemente, es una de las guías más extensas y completas
a fecha actual para mejorar la seguridad en entornos BYOD. En su última revisión, a
fecha actual, data del 20 diciembre del 2012 y en ella presenta la base de BYOD Smart
Solution 1.0 [16] de Cisco. Dicha solución inteligente es un enfoque integral a BYOD que
incluye una guía de diseño validada, servicios profesionales y soporte, un plan de
auditoría integrado y un enfoque modular que sigue los casos de uso definidos en el
diseño validado.
La guía puede consultarse on-line o bien ser descargada en formato .pdf, y en ella se
presentan los siguientes puntos:
Descripción de la solución
o BYOD Smart Solution 1.0 de Cisco
o Controladores del negocio
o Desafíos para organizaciones de TI
o Desafíos para los usuarios finales
o Consideraciones previas a la adopción de BYOD
Diseño general
o Componentes de la solución de Cisco
Entre los que se encuentran: Cisco Access Points, Cisco Wireless Controller, Cisco
Identity Services Engine, Cisco Adaptive Security Appliance, Cisco AnyConnect
Client, Cisco Integrated Services Routers, Cisco Aggregation Services Routers,
Cisco Catalyst Switches y Cisco Prime Infrastructure.
o Acceso seguro a la red corporativa
o Casos de Uso BYOD cubiertos en la guía
o Diseño de una WAN (Wide Area Network) ramificada
o Diseño ramificado de red
o Alta disponibilidad del controlador de red inalámbrica
o Consideraciones de la aplicación
o Requisitos de licencias para una solución BYOD
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
34
Configurando la infraestructura
o Infraestructura inalámbrica
o ISE (Identity Services Engine)
En el que se explica la necesidad del uso de certificados de identidad, cómo
integrar ISE con Active Directory, el funcionamiento de los portales de registro de
invitados, políticas de autenticación, políticas de autenticación inalámbricas,
cableadas y de dispositivos remotos así como políticas de autorización.
o CAS (Certificate Authority Server)
o Diseño de la infraestructura cableada
Acceso BYOD mejorado
o Identificación de grupos y Active Directory
o Distribución de Certificados Digitales
o Aprovisionamiento de dispositivos móviles
o Flujos de aprovisionamiento
o Almacenamiento de la clave y del certificado
o Perfiles de autorización para dispositivos inalámbricos (acceso total, parcial o
sólo Internet)
o Perfiles de autorización para dispositivos cableados (acceso total, parcial o
sólo Internet)
o Dispositivos Android y perfil de denegación de acceso
o Experiencia de usuario
Acceso BYOD limitado
o Grupos de identidades, Active Directory, y listas blancas
o Dispositivos corporativos (acceso completo)
o Perfiles de autorización para usuarios inalámbricos
o Perfiles de autorización para usuarios cableados
Acceso inalámbrico BYOD como invitado
o Direccionamiento IP y DNS
o Autenticación and Autorización
o Acceso inalámbrico a invitados en la ramificación de red
Diseño de acceso básico
o Extender el acceso inalámbrico de invitados a los dispositivos personales de
los empleados.
o Desarrollar accesos inalámbricos similares a los de invitado para los
dispositivos personales de los empleados
o Accediendo a los recursos corporativos
Acceso de dispositivos remotos
o Componentes de la solución:
o Dispositivos Windows conectándose a la red de forma remota
o Dispositivos iOS conectándose a la red de forma remota
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
35
Gestión de dispositivos perdidos o robados
o Grupo de identidades en lista negra
o Portal “mis dispositivos”
o Introducción en lista negra de dispositivos manualmente
o Endpoint Protection Services (EPS)
o Revocación de certificados digitales
o Desabilitar tokens RSA SecurID
Gestión de red BYOD
o Acrónimos y terminología
o Infraestructura general Cisco Prime
o Infraestructura Prime y componentes de soporte
o Rastreo de usuarios y dispositivos BYOD
o Configuración BYOD basada en plantilla
Consideraciones de escalabilidad
o Despliegue distribuido ISE
o ISE y balanceo de carga
o Configuración de balanceo de carga en PSN y ACE
o Archivos de configuración para ACE
o Cumplimiento de políticas
Y finalmente tres apéndices, entre los que podemos encontrar una tabla de políticas
junto con las explicaciones y configuraciones para cada una de ellas en detalle.
2.5.3.2 GARTNER
Gartner for IT Leaders Tool – Template for Mobile Device Policy and Procedures for
Personally Owned Devices: BOYD Program [17] es una guía de referencia plasmada en
una plantilla y desarrollada por el grupo de expertos de Gartner en Junio del 2012 a fin
de:
Ayudar a los clientes a resolver la amplia gama de cuestiones sobre políticas y
procedimientos relacionados con el uso de dispositivos móviles .
Proporcionar opciones para las políticas y los procedimientos basados en el
conocimiento de Gartner sobre dispositivos móviles
Proporcionar un lenguaje que pueda ser adoptado directamente (o fácilmente
adaptado) en los documentos de políticas de la organización.
Igualmente hacen hincapié en que se trata de una plantilla y que muchas de las políticas
o aspectos considerados pueden no tener sentido en algunos casos, o incluso puede ser
necesario ampliarlos en otros.
Antecedentes de las políticas y contexto
Definiciones (de elementos del contexto)
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
36
Alcance
o Papeles y responsabilidades del usuario
Responsabilidades del usuario
Condiciones
Pérdida o robo
Aplicaciones y descargas
Copias de seguridad, intercambio de ficheros o sincronización
Funcionalidad y gestión de las características
o Seguridad del usuario
o Seguridad de los datos y del sistema
o Sanciones
Soporte para BYOD
o Guías de reembolso
o Descuentos de la organización
Proceso de soporte técnico
o Cómo obtener soporte
o Garantía y responsabilidad de reemplazo
Miscelánea
o Finalización de empleo (contrato)
o Excepciones
o Descubrimiento electrónico del dispositivo
Otros documentos relacionados
Acuerdo del usuario
Además de estos puntos principales a tener en cuenta, se presentan cinco anexos:
Directrices para la elegibilidad
Dispositivos y plataformas elegibles
Criterios de seguridad para dispositivos móviles de propiedad privada
Estipendios para los empleados elegibles
Software y servicios reembolsables
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
37
2.5.3.3 ISO 27001 – RESUMEN DE POLÍTICAS INFERIDAS PARA BYOD
Una guía concisa y básica inferida por NoticeBored en base a las políticas definidas en la
ISO 27001 [18]. Al igual que en el caso anterior (Gartner), recomiendan personalizar los
distintos apartados de la plantilla, indicando que lo que proponen no es suficiente en
todos los casos, y que se trata de algo genérico derivado del conocimiento de las buenas
prácticas de seguridad y las normas internacionales, no de los casos específicos de cada
empresa u organización.
La plantilla proporcionada sigue la siguiente estructura:
Resumen de las políticas
Aplicabilidad
Detalle de las políticas
o Antecedentes
o Axiomas de la política (principios orientadores)
o Requisitos detallados de la política
Responsabilidades
o Gestión de la seguridad de la información
o Departamento de TI
o Soporte técnico
o Empleados relevantes
o Auditoría interna
Políticas relacionadas, estándares, procedimientos y guías .
2.5.4 CERTIFICACIONES
El número de certificaciones para BYOD es bastante escaso puesto que, al ser una
tendencia tan novedosa y al haber tanta heterogeneidad entre tecnologías y
dispositivos, no se han definido apenas certificaciones. Las dos certificaciones principales
son las de Aruba Networks y Cisco Systems.
2.5.4.1 ARUBA NETWORKS
Aruba Networks han sido los primeros en disponer de una certificación [19]6 para
comunicación en entornos BYOD, la cual incluye diseño de redes inalámbricas, seguridad
de red y gestión de dispositivos móviles y aplicaciones.
Además de la certificación, han desarrollado un sistema (ClearPass) [20]7 para gestionar
las políticas de forma centralizada de forma que los usuarios no tengan que llevar
software adicional en sus dispositivos ni sea necesario cambiar la red existente.
6 [19] “Aruba Certified Solutions Professional (ACSP).”
7 [20] “Aruba Networks - BYOD Solution (ClearPass).”
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
38
Los distintos cursos/exámenes que debe superar un candidato para obtener la
certificación son los siguientes:
Aruba Certified Solutions Professional (ACSP): cubre el diseño de redes
inalámbricas, el aprovisionamiento de dispositivos, la gestión de aplicaciones y la
seguridad de red. La certificación cubre también el despliegue de voz y vídeo
sobre redes inalámbricas en los dispositivos móviles.
Aruba Certified Mobility Associate (ACMA): conocimiento técnico sobre el
despliegue de redes WLAN en entornos empresariales con un único controlador
de movilidad.
Aruba Certified Mobility Professional (ACMP): complementa al anterior,
presentando configuraciones más complejas de WLANs en entornos con
múltiples controladores de movilidad.
Aruba Certified ClearPass Professional (ACCP): certificación que verifica el
conocimiento y capacidad para administrar los módulos de ClearPass
correspondientes a la gestión de políticas y al sistema de invitados.
Aruba Wireless Mesh Professional (AWMP): certificación que valida la habilidad
de diseñar y desplegar redes inalámbricas de exterior.
Aruba Certified Design Expert (ACDX): valida la habilidad técnica para diseñar
grandes redes inalámbricas, como la de un campus o redes de gran cobertura. Se
requiere tener la certificación ACMP obtener ésta.
Aruba Certified Mobility Expert (ACMX): prueba la experiencia técnica en
implementar y solucionar problemas en grandes redes inalámbricas. Al igual que
en el caso anterior, es necesario disponer previamente de ACMP.
Es necesario renovar las anteriores certificaciones cada tres años.
2.5.4.2 BRING YOUR OWN DEVICE (BYOD) CISCO TRAINING
Al igual que Aruba Networks, Cisco ha desarrollado su propia aplicación de gestión para
aplicar en entornos BYOD (Cisco Unified Access Solution). En su certificación [21]8 no sólo
enseñan a utilizar dicha herramienta sino que analizan los diversos factores que
intervienen en la seguridad de este tipo de entornos, entre los que se encuentra el nivel
de acceso permitido a la red corporativa.
8 [21] “Bring Your Own Device (BYOD) Cisco Training.”
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
39
Limitado Básico Avanzado Completo
El entorno requiere controles ajustados
Acceso básico para dispositivos adicionales
Cualquier dispositivo, en cualquier lugar.
Seguridad mejorada
Cualquier dispositivo, en cualquier lugar para cualquier persona
Dispositivos elegidos por el depto. de TI
Dispositivos gestionados por el depto. de TI y con acceso
restringido desde el sitio
Todos los demás dispositivos prohibidos
Rango más amplio de dispositivos
Dispositivos gestionados por el depto. de TI y con acceso
restringido desde el sitio
Dispositivos de los empleados e invitados
únicamente con acceso a Internet
Amplio rango de dispositivos
Dispositivos corporativos y de empleados con acceso completo desde dentro y
fuera del sitio
Seguridad desde el lado del dispositivo
Dispositivos invitados únicamente con acceso a
Internet
Amplio rango de dispositivos
Dispositivos corporativos y de empleados con acceso completo desde dentro y
fuera del sitio
Seguridad desde el lado del dispositivo
Dispositivos de invitados y clientes con servicios
extendidos
Aplicaciones personalizadas nativas
Imagen 10: Aspectos a tener en cuenta en base al nivel de acceso permitido a la red
Como se puede observar en la ilustración anterior, los niveles que Cisco identifican en
cuanto al nivel de acceso y control sobre la red son los siguientes (de menos a más
restrictivo): Limitado, básico, avanzado y adherido. Indicándose cómo es el entorno en
cada uno de los casos y en qué medidas se traducen cada uno de ellos. La plataforma
Cisco Unified Access Solution se compone de tres pilares principales para los cuales
existen diferentes cursos:
One Policy: Consistent policy for all access methods - Cisco Identity Services Engine
Cisco proporciona una plataforma única con ejecución distribuida de políticas mediante
Cisco Identity Services Engine (ISE), un potente motor sensible al contexto de las políticas
que establece las políticas de seguridad y control basado en el contexto de la
información de entrada, incluyendo usuario, el dispositivo, la ubicación, la hora y
aplicaciones. Sobre ISE se dan los siguientes cursos:
SCBYOD - Selling Cisco Bring-Your-Own Device (BYOD). Con un día de duración, el
objetivo del curso es identificar y analizar hasta qué punto es viable la aplicación
de la plataforma Cisco.
ISEATPSE - ISE ATP Training for SE's. Con un día de duración, se centra en el
entendimiento de las necesidades de la organización y diseñar una solución ISE
que reúna los requisitos y expectativas necesarios.
ISEADMIN - ISE for Security Administrators. Se trata de un curso para ingenieros
involucrados en el día a día de la administración de un despliegue ISE. Su
duración es de dos días.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
40
One Management: Single-pane-of-glass console for managing wired and wireless
networks
Cisco ofrece una suite centralizada de gestión con la capacidad de centrarse en la
experiencia de conectividad del usuario o dispositivo final, independiente del método de
acceso. Los cursos asociados son:
WMNGI - Managing Cisco Wireless LANs. Este curso, con tres días de duración, se
centra en las herramientas Cisco Unified Wireless Network Management, y está
diseñado para los ingenieros con los conocimientos y habilidades necesarias a fin
de que puedan configurar, administrar, gestionar, resolver y optimizar la red con
Cisco NCS Prime.
CWLMS - Implementing CiscoWorks LMS. Este curso de cinco días de duración
está diseñado para proporcionar el conocimiento necesario para gsetionar la red
utilizando la solución de gestión CiscoWorks/Cisco Prime LAN (LMS).
One Network: Unified wired, wireless, and remote access network
El uso de tecnología Cisco en el diseño de red permite diseñar arquitecturas de red
resistentes y avanzadas. A fin de configurar y trabajar con el equipamiento Cisco de
forma homogénea en este tipo de redes, se pueden realizar cursos específicos sobre
routing y switching, seguridad inalámbrica y seguridad cableada entre otros.
2.5.5 RIESGOS DE BYOD
En función de la relevancia de las áreas de impacto, los riesgos han sido c lasificados en
los siguientes grupos:
Costes.
Reglamentación.
Confidencialidad, integridad, disponibilidad y privacidad de los datos.
Esta clasificación se ha realizado tomando como base la información facilitada por Enisa
en su publicación “Consumerization of IT - Top Risks and Opportunities” [22].
2.5.5.1 RIESGOS ECONOMICOS
1. Desprestigio de la imagen de la organización: Este riesgo hace referencia a la
pérdida de valor de la organización por el desprestigio de su imagen, que puede
ser consecuencia del uso indebido de servicios de TI, tales como Cloud
Computing, redes sociales y software o aplicaciones instaladas en dispositivos
móviles. Los usuarios pueden descuidar las políticas de seguridad y transferir
información fuera de la empresa, lo que podría permitir el acceso a personas no
autorizadas. Por otra parte, el riesgo puede surgir a través del intercambio de
dispositivos o cuando un individuo obtiene acceso malicioso físico al dispositivo
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
41
mediante el uso de un ataque de ingeniería social. Cualquier daño a la imagen de
la organización o pérdida de reputación puede causar costes significativos.
2. Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y
tecnologías: El resultado de este riesgo podría ser que, en vez de lograr la
reducción de costes a través de la implementación de BYOD como se supuso
inicialmente, las empresas se vean obligadas a invertir más de lo que
inicialmente se planificó al ser necesario incrementar los recursos para lograr una
correcta administración y gestión del entorno y los dispositivos asociados.
Además, el aumento de costes podría deberse también a:
Inversiones adicionales para alcanzar el nivel deseado de protección y
cumplimiento.
Soporte y formación para empleados.
Revisión continua de las políticas
3. Pérdida y robo de dispositivos: Un mayor uso de los dispositivos móviles podría
incrementar el número de incidentes derivados de pérdidas o robos. Esto
implicaría una mayor inversión en la reposición de los materiales y recuperación
de datos asociados además de poner en riesgo el valor de la empresa si el
dispositivo contiene información importante de la organización
4. Gastos adicionales en recursos y dispositivos de seguridad: BYOD supone un
cambio significativo en cuanto a la arquitectura de seguridad empleada en las
empresas. Como ya se ha comentado, se trata de un nuevo paradigma en el cual
se abandona la seguridad perimetral tradicional, pasando a implantar nuevos
sistemas de seguridad inteligentes y dinámicos capaces de adaptarse a cada uno
de los nuevos dispositivos. También implica el desarrollo de unas políticas
equilibradas que sean permisivas a nuevos dispositivos pero a la vez estrictas
para asegurar la seguridad de nuestras redes corporativas. Finalmente, serán
necesarias inversiones en cuanto a formación, educación y concienciación a los
empleados.
2.5.5.2 RIESGOS RELACIONADOS CON LEYES Y REGULACIONES
5. Pérdida de control sobre dispositivos personales de los empleados: Al tratarse
de dispositivos cuya propiedad es del empleado, deben establecerse los
acuerdos necesarios que aseguren la capacidad de actuación de la empresa
sobre los dispositivos en caso de incidentes. Se trata de dispositivos que no son
propiedad de la organización, por lo que se debe tener el consentimiento
explícito del empleado para poder actuar sobre los mismos. Se hacen
imprescindibles los Acuerdos de Nivel de Servicio (ANS).
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
42
6. Cumplimiento de la Ley Orgánica de Protección de Datos: Por otra parte,
cumplir con la Ley Orgánica de Protección de Datos (LOPD) puede ser un
obstáculo si no se tiene la traza completa de la información en cada momento.
De materializarse este riesgo, podría dar lugar a una pérdida de reputación
importante de la empresa.
7. Pérdida de privacidad: El riesgo de no ser capaz de discriminar entre los datos de
usuario y los datos de la empresa almacenados en dispositivos puede dar lugar a
intervenciones indebidas de las empresas en la vida privada y la propiedad de los
empleados. Asimismo, riesgos derivados de la liberación accidental de datos
personales también pueden surgir. Es por ello que se debe poder distinguir en
cada momento entre los datos de carácter personal y los datos corporativos.
2.5.5.3 RIESGOS EN LOS DATOS
8. Pérdida de datos corporativos: Posible pérdida de datos corporativos como
resultado de la distribución no autorizada de la información entre los diferentes
dispositivos de los empleados. Esta información podría llegar a manos de
terceros ajenos a la empresa y cuyo comportamiento sobre la misma ponga en
peligro tanto la integridad como la confidencialidad de la misma.
9. Diversidad de software de consumo: la pérdida de datos puede producirse
debido a vulnerabilidades presentes en las aplicaciones y servicios que se
ejecutan en los dispositivos. Es imprescindible definir un conjunto de políticas,
herramientas y/o software seguro para las distintas necesidades de los
empleados.
10. Intrusiones en la red corporativa: La apertura del perímetro de seguridad para
dar cabida a las necesidades de consumerización9 podría generar un riesgo alto
de intrusiones en la red de personal no autorizado.
11. Aumento del alcance de los vectores de ataque: Al aumentar el número de
dispositivos asociados a la empresa, aumentan también los focos sobre los cuales
podrían centrarse ataques cibernéticos para la adquisición de información
confidencial y privada de la compañía.
9 [22] “Consumerization of IT - Top Risks and Opportunities.pdf.” ENISA
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
43
2.5.5.4 CLASIFICACIÓN DEL RIESGO
En esta sección se valoran cada uno de los riesgos identificados en BYOD. Al igual que se
hizo en el apartado 2.4.4.1 para los entornos Cloud Computing, a través de la
probabilidad de ocurrencia del riesgo y del impacto del mismo sobre nuestra
organización, obtendremos una valoración final que nos permite conocer cuan de alto es
el riesgo al que los activos de nuestra organización se ven expuestos. Para obtener más
información acerca del criterio establecido para dicha clasificación, puede consultarse la
sección 2.3.
Esta valoración se ha realizado según el documento “Consumerization of IT - Top Risks
and Opportunities” [22] donde se identifican las qué áreas deben ser evaluadas y los
riesgos asociados. En la siguiente tabla se muestra el resultado de la valoración asignada
a cada uno de los riesgos descritos anteriormente.
BRING YOUR OWN DEVICE
VALORACIÓN RIESGOS
ID Riesgo Probabilidad Impacto Valoración
Riesgo
1 Desprestigio de imagen de la organización 2 3 5
2 Aumento en la complejidad de los dispositivos, sistemas,
aplicaciones y tecnologías 2 2 4
3 Pérdida y robo de dispositivos 1 1 2
4 Gastos adicionales en recursos y dispositivos de seguridad 2 2 4
5 Pérdida de control sobre dispositivos personales de los
empleados 3 2 5
6 Cumplimiento la Ley Orgánica de Protección de Datos 3 3 6
7 Pérdida de privacidad 2 2 4
8 Pérdida de datos corporativos 3 3 6
9 Diversidad de software de consumo 2 3 5
10 Intrusiones en la red corporativa 1 3 4
11 Aumento del alcance de los vectores de ataque 2 2 4
Tabla 9: Valoración del riesgo BYOD
45
CAPÍTULO III: PLANTEAMIENTO Y SOLUCIÓN
3. INTRODUCCIÓN
Los puntos que se presentan a continuación contienen toda la información necesaria
para llevar a cabo auditorías de entornos Cloud Computing y BYOD. Primeramente, se
mostraran de manera genérica algunas consideraciones a tener en cuenta para la
planificación de la auditoría (conocimientos, periodos, comunicaciones…). A
continuación se hablará de la definición del alcance y los objetos para los entornos
mencionados y finalmente se abordará de forma extensa los planes de auditoría para
poder evaluar dichas tecnologías.
Cabe resaltar la importancia que los planes de auditoría presentados tienen en el
presente proyecto. Constituyen los dos “outputs” fundamentales del mismo y pretenden
englobar todas aquellas áreas cuya revisión sea necesaria durante el proceso de
auditoría. Todos los controles presentados han sido mapeados con estándares
reconocidos internacionalmente abarcando todo el ámbito de las TIC10 y su seguridad.
Los estándares empleados son los siguientes:
Cobit 4.1 [23]: Es un marco internacional de buenas prácticas sobre las
Tecnologías de la Información (TI) y los riesgos asociados a las mismas. Es
responsabilidad del ITGI11 y se centra en el Gobierno de TI y en el diseño e
implementación de controles adecuados. Algunas de las áreas que abarca son:
objetivos de control, directivas de aseguramiento, modelos de madurez etc.
ITIL v3 [24]: Pertenece a Open Geospatial Consortium (OGC) y al igual que Cobit,
se trata de un marco internacional de buenas prácticas destinado a la gestión y
provisión de servicios de TI. Sus principales objetivos son la calidad de los
servicios y los riesgos asociados a los mismos, tratando de reducir su impacto en
caso de que alguno de ellos se materializara.
Norma ISO/IEC 27002:2005 [25]: Se trata de un estándar para la seguridad de la
información recomendado para todos aquellos que pretendan iniciar, implantar
y/o mantener sistemas de gestión de la seguridad de la información.
NIST: Recommended Security Controls for Federal Information Systems and
Organizations [26]: Conjunto de controles de seguridad de TI orientados a la
gestión, operación y salvaguarda de los activos de las compañías.
SANS: 20 Critical Security Controls [27]: Anualmente, SANS identifica los
principales controles críticos dentro del ámbito de la Seguridad de la
Información. Estos controles tienen el objetivo principal de dar respuesta a la
10
Tecnologías de la Información y Comunicaciones 11
ITGI: IT Governance Institute
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
46
siguiente cuestión: ¿Qué debemos hacer para proteger a las organizaciones de
los ciber-ataques? Asocian los controles a herramientas y marcas comerciales
que nos ayudan a mitigar el riesgo y proteger los entornos seleccionados.
El motivo fundamental de la selección de los estándares anteriores responde al siguiente
análisis de estándares y guías de buenas prácticas dentro del área de los Sistemas de la
Información:
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
Imagen 11: Estudio Estándares y Marcos de Buenas Prácticas
48
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
Como se puede apreciar, todas las áreas son cubiertas total o parcialmente por los
estándares seleccionados. Se han incluido SANS y NIST pues complementan la
información relativa a seguridad de la información presente en el resto de estándares
(en especial, ISO/IEC 27002:2005).
Para realizar el mapeo12 entre los controles desarrollados y los diferentes estándares
analizados, se ha establecido la siguiente clasificación de dominios por estándar:
Imagen 12: Dominios Estándares
A continuación se definen cada uno de los dominios de control:
1. COBIT 4.1
Planificación y Organización de estratégicas y tácticas con el fin de que TI pueda
ayudar a negocio a la consecución de sus objetivos. La visión estratégica necesita
ser planeada, comunicada y administrada desde diferentes perspectivas.
12
Relación entre un control y su correspondiente en otro estándar.
COBIT 4.1 ISO 27002
Planificación y Organización (PO) 5 Politica de Seguridad
Adquisión e Implementación (AI) 6 Aspectos Organizativos de la Seguridad de la Información
Entrega y Soporte (DS) 7 Gestión de Activos
Supervisión y evaluación (ME) 8 Seguridad ligada a los recursos humanos
9 Seguridad física y del entorno
ITIL v3 10 Gestión de comunicaciones y operaciones
11 Control de accesos
Estrategia del Servicio (SS) 12 Adquisición, desarrollo y mantenimiento de los SI
Diseño del Servicio (SD) 13 Gestión de incidentes de seguridad de la información
Transición del Servicio (ST) 14 Gestión de la continuidad del negocio
Operativa del Servicio (SO) 15 Cumplimiento
Servicio de Mejora Continua (CSI)
NIST SANS
1 Inventario de dispositivos autorizados y no autorizados
Control de acceso (AC) 2 Inventario del software autorizado y no autorizado
Formación y concienciación (AT) 3 Configuracion segura de hadrware y software
Auditoría (AU) 4 Evaluación continua de vulnerabilidades
Evaluación de la seguridad y autorización (CA) 5 Defensa contra malware
Gestión de la Configuración (CM) 6 Seguridad de software de aplicación
Planes de Contingencia (CP) 7 Control de dispositivos Wireless
Identificación y autenticación (IA) 8 Capacidad de recuperación de datos
Respuesta a incidentes (IR) 9 Evaluación de habilidades de seguridad y formación
Mantenimiento (MA) 10 Configuracion segura para los dispositivos de red
Protección de de medios (MP) 11 Limitacion y control de puertos, protocolos y servicios
Protección física y del entorno (PE) 12 Uso Controlado de privilegios administrativos
Planificación (PL) 13 Defensa perimetral
Seguridad del personal (PS) 14 Mantenimiento, seguimiento y análisis de regs de auditoría de seguridad
Evaluación del riesgo (RA) 15 Acceso controlado basado en necesidades
Adquisición de sistemas y servicios (SA) 16 Seguimiento y control de cuentas
Proteccion de sistemas y comunicaciones (SC) 17 Prevención de pérdida de datos
Integridad de sistemas e información (SI) 18 Gestión de Respuesta a Incidentes
Gestion del programa (PM) 19 Ingeniería de red segura
20 Tests de Penetración
DOMINIOS
49
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
49
Deberán establecerse una organización y una infraestructura tecnológica
apropiadas a las estrategias definidas.
Adquisición e implementación de soluciones de TI que deben ser identificadas,
adquiridas, implementadas e integradas dentro del proceso del negocio. Además,
este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
Entrega y Soporte propone controles referentes a la gestión de la configuración,
gestión del servicio (incidentes, peticiones, mantenimiento), formación de
empleados, seguridad de sistemas, costes etc.
Supervisión y evaluación incluye la administración del desempeño, el monitoreo
del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
Todos los procesos deben ser regularmente revisados para controlar la calidad y
el cumplimiento de los requerimientos establecidos.
2. ITIL v3
Estrategia y Servicio: Su objetivo es la definición de qué servicios se prestarán, a
qué clientes y en qué mercado. Analiza posibles mejoras de servicios existentes y
controla procesos de gestión financiera, gestión del portafolio13 y gestión de la
demanda14.
Diseño del Servicio: Este dominio se centra en el análisis de viabilidad de los
servicios analizando infraestructuras, capacidad del personal, niveles y catálogos
de servicio etc. Aspectos del Plan de Recuperación ante Desastres (PRD) son
considerados así como la seguridad de los servicios.
Transición del Servicio: Engloba controles referentes a la gestión de la
configuración15 y activos, gestión del cambio, periodos de transición, despliegue,
validación y evaluación de nuevos servicios.
Operativa del Servicio: Monitorización del servicio. Gestión de incidentes,
problemas, solicitudes, eventos, demandas y accesos.
Servicio de Mejora Continua: Se trata de un dominio trasversal al resto que a
través de herramientas de medición y documentación de control generada, trata
de mejorar de alguna manera cualquier proceso de la empresa.
13
Consiste en definir una estrategia de servici o que sirva para generar el máximo valor controlando riesgos y costes. 14
Se encarga de predecir, administrar y regular los ciclos de consumo 15
Conjunto de procesos destinados a asegurar la calidad de todo producto obtenido durante cualquiera de las etapas del desarrollo
50
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
3. ISO/IEC 27002:2005:
Política de Seguridad: Indica la necesidad del apoyo e involucración de la
dirección en la generación y mantenimiento de políticas de Seguridad de la
Información.
Aspectos organizativos de la Seguridad de la información: Hace referencia a la
necesidad de una estructura de gestión para iniciar y controlar la implantación de
la Seguridad de la Información dentro de la empresa.
Gestión de Activos: Conseguir y mantener una protección adecuada de los
activos de la organización.
Seguridad ligada a los Recursos Humanos: Su objetivo es asegurar que los
empleados (internos y externos), proveedores y terceros conocen y entienden
sus responsabilidades y se adecuan a sus funciones.
Seguridad física y del Entorno: Los controles se centran en la prevención ante
accesos físicos no autorizados a las instalaciones y/o información de la empresa.
Gestión de comunicaciones y operaciones: Pretende asegurar el correcto
funcionamiento y la seguridad de los recursos de tratamiento de la información.
Control de accesos: Control de acceso a la información de la empresa.
Adquisición, desarrollo y mantenimiento de los sistemas de la información: Su
objetivo es garantizar que la seguridad está integrada en los sistemas de la
información.
Gestión de incidentes de seguridad de la información: Asegurarse de que los
eventos relacionados con Seguridad de la Información son debidamente
comunicados y se realizan las acciones correctivas apropiadas.
Gestión de la continuidad del negocio: Proteger los procesos críticos de negocio
de los efectos derivados de fallos importantes o catastróficos en los Sistemas de
la Información.
Cumplimiento: Evitar incumplimientos de los requisitos de seguridad con leyes o
reglamentaciones vigentes.
4. SANS: Recommended Security Controls for Federal Information Systems and
Organizations
Control de acceso (AC): Define políticas, procedimientos y controles para
garantizar la seguridad de los sistemas, dispositivos, aplicaciones e información
sensible.
Formación y concienciación (AT): Promueve la formación y concienciación de
todos los miembros de las organizaciones para fortalecer la seguridad de la
información y sus activos relacionados.
Auditoria (AU): Contempla todos los aspectos relacionados con los procesos de
auditorías dentro de la organización.
51
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
51
Evaluación de la seguridad y autorización (CA): Engloba todo lo que se refiere a
la evaluación de seguridad sobre sistemas, aplicaciones o nuevas tecnologías a
implementar.
Gestión de la configuración (CM): Enfocado a administrar las configuraciones de
los sistemas, dispositivos y aplicaciones permitidos y controlados por la
organización (análisis de impacto, inventario de activos…).
Planes de contingencia (CP): Define políticas, procedimientos, planes de
pruebas, sistemas de almacenamiento (backup), comunicaciones y planes de
recuperación relacionados con el plan de contingencia16 de la organización.
Identificación y autenticación (IA): Contempla todo el proceso de autenticación
e identificación de usuarios y dispositivos.
Respuesta a incidentes (IR): Contempla todos los aspectos relacionados a la
respuesta a incidentes dentro de la organización, así como la asistencia,
monitoreo y reportes de incidentes.
Mantenimiento (MA): Hace referencia al mantenimiento de sistemas, equipos y
servicios de las organizaciones.
Protección de medios (MP): Abarca todos los aspectos concernientes a la
protección de los distintos medios de acceso utilizados en la organización.
Protección física y del entorno (PE): Considera todos los controles, políticas y
procedimientos para la protección del entorno de trabajo y la seguridad física de
las instalaciones, equipos, sistemas y personas.
Planificación (PL): Abarca todo el proceso de planificación y coordinación de
acciones relacionadas a la seguridad de los activos de la organización.
Seguridad del personal (PS): Contempla todos los aspectos relacionados a la
seguridad aplicada al personal dentro de la organización (interno, subcontratado
o visitante).
Evaluación del riesgo (RA): Define todo lo relacionado al estudio y gestión del
riesgo relacionado a los distintos activos de la empresa.
Adquisición de sistemas y servicios (SA): Define todo el proceso y control
necesario a la hora de la adquisición de sistemas y servicios para la organización.
Protección de sistemas y comunicaciones (SC): Incluye todos los controles y
procedimientos para la protección de los sistemas y las comunicaciones de la
organización.
Integridad de sistemas de información (SI): Define todo los controles y
procedimientos necesarios para garantizar la integridad de los sistemas y la
información que estos gestionan.
16
Contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía .
52
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
Gestión del programa (PM): Hace referencia a los planes de seguridad globales
trasversales a toda la organización, sus objetivos, comunicaciones, estrategias y
supervisiones.
5. SANS:
Inventario de dispositivos autorizados y no autorizados: Contrasta el monitoreo
y la gestión de la configuración para mantener un inventario actualizado de los
dispositivos que utilizan los recursos de la organización.
Inventario de software autorizado y no autorizado: Genera un listado de
software permitido para cada sistema. Controla del uso de s oftware no
autorizado o innecesario.
Configuración segura de hardware y software: Controla las configuraciones de
todos los equipos y aplicaciones utilizadas por las organizaciones para garantizar
la seguridad de la información.
Evaluación continua de vulnerabilidades: Gestión, identificación,
documentación y reparación de las vulnerabilidades del software.
Defensa contra el malware: Define el bloqueo de código malicioso y la
actualización y desinfección de dispositivos.
Seguridad de software de aplicación: Engloba todo lo relacionado a la detección
de vulnerabilidades en el software de aplicación.
Control de dispositivos wireless: Controla el acceso inalámbrico a los recursos de
la organización.
Capacidad de recuperación de datos: Contempla la posibilidad de la
recuperación de información después de un incidente de pérdida o manipulación
de la información.
Evaluación de habilidades de seguridad y formación: Promueve la formación y
concienciación de todos los miembros de las organizaciones para fortalecer la
seguridad de la información y sus activos.
Configuración segura para los dispositivos de red: Abarca todo los aspectos de
configuración segura de equipos que trasmiten los datos de la empresa, y de los
dispositivos que hacen frente a las amenazas externas como firewalls, IDS17, IPS18,
etc.
Limitación y control de puertos, protocolos y servicios: Controla la configuración
de equipos, puertos así como la implementación de controles de filtrado de
tráfico.
Uso controlado de privilegios administrativos: Limita el uso de cuentas
administrativas en equipos de escritorio, portátiles y servidores para prevenir
ataques o incidencias de seguridad.
17
IDS: Sistema de Detección de Intrusos 18
IPS: Sistema de Prevención de Intrusos
53
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
53
Defensa perimetral: Controla y gestiona el flujo de tráfico a través de la red
definiendo los medios de control adecuados.
Mantenimiento, seguimiento y análisis de registros de auditoria de seguridad:
Gestiona el proceso de auditoría.
Acceso controlado basado en necesidades: Garantiza que solo los usuarios
autorizados tienen acceso a la información sensible.
Seguimiento y control de cuentas: Controla y gestiona el estado de las cuentas
de accesos a los sistemas con el fin de eliminar aquellas no usadas y/o no
autorizadas.
Prevención de pérdida de datos: Controla el flujo de información para reducir al
mínimo la posibilidad de un incidente de pérdida de datos.
Gestión de respuesta ante incidentes: Define el uso de un plan de respuesta
ante incidentes con roles y responsabilidades definidas para hacer frente a
cualquier situación que se presente.
Ingeniería de red segura: Determina el uso de una ingeniería de red segura
implementando el uso de VPN’s19, Middleware20 y DMZ21 para mejorar la calidad
de servicio y la seguridad.
Test de penetración: Define pruebas internas y externas para identificar
vulnerabilidades y posibles riesgos.
Como se puede observar en los apartados Error! Reference source not found. y Error!
Reference source not found., cada punto de control se encuentra identificado con uno o
varios dominios. Estos datos nos permiten analizar el grado de control que los planes de
auditoría elaborados nos aportan, identificando además aquellas áreas que se
encuentran más controladas y las que serían susceptibles de ser mejoradas. Con este
análisis, proporcionamos al auditor no solo los planes necesarios para auditar los
entornos tratados sino también toda la información relativa a la calidad de las revisiones
o evaluaciones llevadas a cabo.
Como conclusiones finales, se presentarán gráficamente los datos obtenidos con el fin
de poder mostrar:
1. Grado de completitud de los controles en los estándares analizados, ¿Qué
porcentaje de controles se encuentran reflejados en los estándares analizados?
2. Dominios principales de control sobre los que actúan los planes de auditoría.
3. Las áreas principales que son evaluadas por auditoría al ejecutar los planes de
auditoría desarrollados.
19
VPN: Virtual Private Network 20
Middelware: Software que asiste a una aplicación para interactuar o comunicarse con otras aplicaciones 21
DMZ: Zona de red desmilitarizada
54
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
3.1 PLANIFICACIÓN DE LA AUDITORÍA
La planificación de la auditoría debe establecer los requisitos de información y
documentación necesarios para llevarla a cabo. Se debe desarrollar un plan de auditoría
concretando los conocimientos necesarios para realizar la revisión. Así mismo, se debe
definir una planificación temporal que incluya los periodos en los cuales los auditados
estarán a disposición del equipo auditor y desarrollar una propuesta de auditoría que
contenga, a muy alto nivel, los elementos que serán revisados. Esta propuesta será
enviada y comunicada a los responsables del área auditada.
Durante la planificación, se debe considerar toda aquella información que pudiera ser
útil para el equipo auditor, tal como informes de auditorías previas, análisis de riesgos,
documentación corporativa etc. Además hay que considerar los criterios organizativos
del área auditada y las funciones y cargos de las personas de contacto asignadas.
3.1.1 ALCANCE Y OBJETIVO DE LA AUDITORÍA
El alcance y objetivo de la auditoría debe estar claramente definido y contrastado entre
el equipo auditor y los responsables de las áreas auditadas. Cabe resaltar que las
auditorías, en algunos casos, pueden ser solicitadas por la dirección de las
organizaciones con el fin de evaluar el estado interno de ciertas áreas. Es por ello que se
debe aclarar y definir detalladamente exactamente cuál es el objetivo principal que se
persigue con la misma.
Es importante que se indique al equipo auditor, a priori, si existe algún tipo de
documentación específica que no pueda ser facilitada con el fin de identificar cuanto
antes posibles limitaciones al alcance definido. En este caso, el proceso de auditoría
debe continuar si bien dicha situación quedaría reflejada en el informe definitivo.
Con el fin de asegurar la objetividad del equipo auditor, las tareas que se lleven a cabo
no deben incluir la ejecución de acciones que puedan ser consideradas como de
consultoría, de desarrollo, de implantación etc. (como por ejemplo modificaciones de
Software asociado).
3.1.2 TRABAJO DE CAMPO
Antes de entrar en detalle con los planes de auditoría desarrollados, a continuación se
detallan una serie de buenas prácticas para llevar a cabo el trabajo de auditoría de
manera eficaz:
Para la presentación del equipo auditor y el trabajo a realizar, es recomendable
realizar una reunión de “kick-off” o puesta en marcha para explicar, en base a la
propuesta y a muy alto nivel, los puntos que se encuentran incluidos dentro de la
revisión.
55
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
55
Las pruebas a realizar por el equipo auditor son privadas y no se tiene la
obligación de comunicarlas previamente excepto, que por temas de
disponibilidad sea necesario informar a los auditados.
Para cantidades elevadas de datos, se puede realizar un muestreo para poder
llevar a cabo la prueba seleccionada. Existen diferentes teorías de muestreo que
en función de la población a analizar, aplican distintos factores (por ejemplo, el
que propone CMMI) para seleccionar la cantidad datos necesarios.
El equipo auditor no prejuzgará la existencia o no de determinados
procedimientos y/o medidas. Su evaluación será objetiva y se debe adecuar a los
riesgos identificados.
Durante las reuniones con los auditados, no se deben inducir las contestaciones
de los auditados sino que deben ser preguntar abiertas cuya respuesta
(afirmativa o negativa) no se encuentre implícita en la misma pregunta.
El jefe del equipo auditor deberá supervisar que se ha llevado a cabo el programa
de auditoría previamente acordado y, en caso de ser necesarias, las
modificaciones deben estar quedar correctamente registradas y fundamentadas.
Las evidencias encontradas deben ser registradas y documentadas por escrito y
validadas por los auditados antes de la emisión del informe borrador.
La documentación de la auditoría debe almacenarse durante un periodo de
tiempo previamente establecido y debe estar organizada y referenciada para
facilitar su comprensión y acceso al resto del equipo auditor.
Para validar la estructura del trabajo, se pueden llevar a cabo revisiones de
calidad conocidas como Quality Assessments (QAs). Estas revisiones se deben
realizar por personal del equipo auditor ajeno a la auditoría que revisa.
Una vez terminado y documentado el trabajo, se realizará el informe. La primera
emisión del mismo se realizara en modo borrador y se acordará con el auditado
un periodo de tiempo en el cual podrán solicitar modificaciones del mismo. Una
vez transcurrido el periodo borrador, se realizará la emisión del informe
definitivo. Este informe no podrá ser modificado y sobre el mismo se llevará a
cabo el plan de acción asociado.
56
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
3.1.2.1 AUDITORÍAS DE ENTORNOS CLOUD COMPUTING
Antes de detallar el contenido de cada uno de los controles, a continuación se presenta
de manera gráfica y resumida cada una de las áreas identificadas en el plan de auditoría
Cloud Computing desarrollado. Se han definido 9 áreas asociadas a un total de 44
controles.
CLOUD COMPUTING
ÁREAS DE CONTROL
GOBIERNO Y CONTROL DE RIESGOS DE LA EMPRESA
Identificación de proveedores y personal de servicios de Cloud Computing
Implantación de Acuerdos de Nivel de Servicio (ANS)
Revisión de Acuerdos de Nivel de Servicio (ANS)
Control y valoración de riesgos de la empresa
Equilibrio entre de Acuerdos de Nivel de Servicio (ANS) y valoración de riesgos
Aceptación del riesgo
Valoración de la eficiencia del modelo de riesgos
Relación Control - Riesgos
Acuerdos con terceras partes
Operaciones del proveedor de servicios
Cumplimiento de Acuerdos de Nivel de Servicio (ANS)
DESCUBRIMIENTO LEGAL Y ELECTRÓNICO
Requisitos contractuales del cliente
Cumplimiento de obligaciones contractuales
Cumplimiento legal según leyes locales y globales
AUDITORIA Y CUMPLIMIENTO
EL derecho de auditar
Informe de auditorías externas por parte del proveedor
Auditorías internas por parte del cliente
Responsabilidades de protección según los escenarios de despliegue
Certificación ISO 27001
PLANIFICACIÓN DE LA MIGRACIÓN E INTEROPERABILIDAD
Migración
NOTIFICACIONES DE INCIDENTES, RESPUESTAS Y REPARACIONES
Consideración de incidentes y eventos en Acuerdos de Nivel de Servicio (ANS)
Acuerdos de cooperación
Procedimientos de notificación
Procedimientos de monitorización del proveedor de servicios
Informes de monitorización
Incidentes monitorizados en un periodo de tiempo
Procedimientos de monitorización del cliente
Consideración de incidentes internos y externos
Muestra de incidentes para su estudio
DESARROLLO DE LAS APLICACIONES Arquitectura de la Seguridad de Aplicaciones
Gestión de la Configuración
57
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
57
CLOUD COMPUTING
ÁREAS DE CONTROL
Cumplimiento
Herramientas y Servicios
Funcionalidad de la Aplicación
TRANSMISIÓN Y ALMACENAMIENTO DE LA INFORMACIÓN
Transporte de Datos
Datos en Reposo
Copia de Seguridad de los Datos
Test de Confidencialidad de Datos
Repositorio Seguro de Claves
Acceso al Repositorio de Claves
Copia de Seguridad de la Clave y Recuperación
GESTIÓN DE LAS IDENTIDADES Y ACCESOS Creación de Identidad
Autenticación
VIRTUALIZACIÓN Virtualización
3.1.2.1.1 PLAN DE AUDITORÍA
El presente plan de auditoría detalla todos aquellos controles para llevar a cabo una
revisión completa de entornos Cloud Computing.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
59
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
1. G
OB
IER
NO
Y C
ON
TRO
L D
E R
IESG
OS
DE
LA E
MP
RES
A
1.1 OBJETIVO: Las funciones de gobierno están establecidas para asegurar la efectividad y un mantenimiento sostenible de los procesos del Cloud.
Todos los riesgos aplican
1.1.1
La organización dispone de mecanismos para identificar a todos los proveedores y al personal de los servicios del Cloud con los que el negocio está relacionado y con todos los desarrollos que se están llevando a cabo en el cloud que existen dentro del negocio. La organización asegura que el cliente, el personal de la seguridad de la información y las unidades de negocio participan activamente en el gobierno y las actividades de las políticas de seguridad en alinear los objetivos de negocio y las necesidades de la seguridad de la información del proveedor de servicios con los de la organización.
PO3.3 Monitoreo de tendencias y
regulaciones futuras PO3.5 Consejo de arquitectura de TI
PO4.3 Comité directivo de TI PO4.4 Ubicación organizacional de la función de TI
PO4.5 Estructura organizacional de TI PO4.6 Establecer roles y responsabilidades PO4.8 Responsabilidad sobre el riesgo, la
seguridad y el cumplimiento PO4.10 Supervisión
PO6.3 Gestión de políticas de TI PO6.4 Implantación de políticas, estándares y procedimientos
PO6.5 Comunicación de los objetivos y la dirección de TI
DS5.1 Gestión de la seguridad de TI DS5.2 Plan de seguridad de TI DS5.3 Gestión de identidad
SS 2.6 Funciones y procesos a través del ciclo de vida SS 6.1 Desarrollo organizacional
SS 6.2 Departamentalización organizacional SS 6.3 Diseño organizacional SS 6.5 Estrategia de sourcing
SS Apéndice B2 Gerentes de producto SD 4.3.5.7 Modelamiento y tendencias
SD 4.6 Gestión de la seguridad de la información SD 6.3 Habilidades y atributos
SD 6.4 Roles y responsabilidades SO 3.1 Funciones, grupos, equipos,
departamentos y divisiones SO 3.2 Obtener balance en la operación del servicio
SO 3.2.4 Organizaciones reactivas versus proactivas
SO 3.3 Prestación del servicio SO 3.6 Comunicaciones SO 5.13 Gestión de seguridad de la
información y la operación del servicio SO 6.1 Funciones
SO 6.2 Mesa de servicios SO 6.3 Gestión técnica SO 6.4 Gestión de operaciones de TI
SO 6.5 Gestión de aplicaciones SO 6.7 Estructuras organizacionales de
operación del servicio ST 4.2.6.8 Consejo consultivo de cambios ST 5.1 Gestión de las comunicaciones y el
compromiso ST 6.2 Contexto organizacional para la transición de servicios
ST 6.3 Modelos organizacionales para apoyar la transición de servicios
6.1.1 Compromiso de la gerencia con la seguridad de la información
6.1.2 Coordinación para la seguridad de la información
AC-1 Políticas y procedimientos de control de acceso AT-1 Políticas y procedimientos de formación y sensibilización de seguridad
AU-1 Políticas y procedimientos para auditorías y rendición de cuentas
CA-1 Políticas y procedimientos de evaluación de seguridad y autorización CM-1 Políticas y procedimientos para gestión de configuraciones
CP-1 Políticas y procedimientos para planes de contingencia CP-2 Plan de contingencia
CP-4 Pruebas y ejercicios de planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación IR-1 Políticas y procedimientos de respuesta a incidentes
IR-4 Manejo de incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas
MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno PL-1 Políticas y procedimientos para planes de seguridad
PL-6 Planificación de actividades relacionadas con la seguridad PS-1 Políticas y procedimientos para la seguridad del personal
RA-1 Políticas y procedimientos para la evaluación del riesgo SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios
SA-2 Asignación de recursos SC-1 Políticas y procedimientos para la protección de sistemas y
comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e información
PM-1 Información del Plan de Programa de Seguridad PM-2 Agente Superior de Información de Seguridad
4. Evaluación continua de las vulnerabilidades y resolución de las mismas
9 Evaluación de las habilidades de seguridad y formación
adecuadas para satisfacer las deficiencias
1.1.1.1 Determinar si las tecnologías de la información y las funciones claves del negocio tienen definido marcos de gobierno integrados y procesos
de monitorización.
1.1.1.2 Determinar si el departamento de IT y las funciones de seguridad de la información y las unidades del negocio están involucradas activamente en establecer los ANS (Acuerdos de Nivel de Servicio) y
las obligaciones contractuales.
1.1.1.3
Determinar si en las funciones de seguridad de la información se ha
realizado un análisis de las diferencias entre las capacidades de seguridad de la información del proveedor de servicios y las políticas
de seguridad de la información de la organización y las amenazas y vulnerabilidades y los riesgos que surgen en la transición a un entorno de Cloud Computing.
1.1.1.4 Determinar si el proveedor de cloud ha identificado los objetivos de
control para los servicios que ofrece.
1.1.1.5 Determinar si la organización mantiene un inventario de los servicios
que se ofrecen vía cloud.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
61
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
1. G
OB
IER
NO
Y C
ON
TRO
L D
E R
IESG
OS
DE
LA E
MP
RES
A(c
on
t)
1.1.2 Control: Ambas partes definen las relaciones para presentar los informes y las responsabilidades.
PO2.3 Esquema de clasificación de datos
PO3.4 Estándares tecnológicos AI5.2 Gestión de contratos con proveedores DS1.1 Marco de trabajo para la gestión de
niveles de servicio DS1.2 Definición de servicios DS1.3 Acuerdos de niveles de servicio
DS2.3 Gestión de riesgos de proveedores DS2.4 Monitoreo del desempeño de
proveedores
SS 2.6 Funciones y procesos a través del
ciclo de vida SS 4.2 Desarrollar las ofertas SS 4.3 Desarrollar activos estratégicos
SS 4.4 Preparar la ejecución SS 5.5 Gestión de la demanda SS 7.2 Estrategia y diseño
SS 7.3 Estrategia y transiciones SS 7.4 Estrategia y operaciones
SS 7.5 Estrategia y mejora SS 8.2 Interfaces del servicio SD 3.1 Metas
SD 3.2 Diseño balanceado SD 3.4 Identificar y documentar los
requisitos y drivers del negocio SD 4.2.5.1 Diseñar el marco operativo para el ANSSD 4.2.5.9 Desarrollar contratos y
relaciones SD 4.2.5.2 Requisitos acordados y
documentados de los nuevos servicios; definir los requisitos de los niveles de servicios
SD 4.2.5.9 Desarrollar contratos y relaciones
SD 4.7.5.3 Nuevos proveedores y contratos SD 4.7.5.5 Renovación y/o término de contratos
SD 4.7.5.4 Gestión y desempeño de proveedores y contratos
SD 5.2 Gestión de los datos y la información SD Apéndice F Probar los ANS y Acuerdos de Niveles de Operación
10.2.1 Entrega de servicios 10.8.2 Acuerdos de intercambio
CA-3 Información de conexiones del sistema SA-9 Servicios externos del sistema de información
Todos los riesgos aplican
1.1.2.1 Determinar si las responsabilidades del gobierno están documentadas y aprobadas por el proveedor de servicios y el cliente
1.1.2.2 Determinar si la vía de comunicación entre el proveedor y la empresa
está claramente definida identificando las responsabilidades en los procesos de gobierno de ambas organizaciones.
1.1.3 Control: Las ANS que soportan los requisitos de negocio están definidas, aceptadas por el proveedor de servicios y monitoreadas.
PO4.14 Políticas y procedimientos para personal contratado PO6.4 Implantación de políticas, estándares
y procedimientos PO8.3 Estándares para desarrollos y
adquisiciones PO9.4 Evaluación de riesgos de TI DS2.1 Identificación de todas las relaciones
con proveedores DS2.2 Gestión de relaciones con
proveedores DS2.3 Gestión de riesgos de proveedores DS2.4 Monitoreo del desempeño de
proveedores DS5.1 Gestión de la seguridad de TI
DS5.4 Gestión de cuentas de usuario DS5.9 Prevención, detección y corrección de Software malicioso
DS5.11 Intercambio de datos sensitivos DS12.3 Acceso físico
SS 7.3 Estrategia y transiciones SD 3.6 Aspectos de diseño SD 3.9 Arquitectura orientada al servicio
SD 3.11 Modelos para el diseño de los servicios
SD 4.2.5.9 Desarrollar contratos y relaciones SD 4.6 Gestión de la seguridad de la
información SD 4.7.5.1 Evaluación de nuevos
proveedores y contratos SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de
proveedores y contratos SD 4.7.5.5 Renovación y/o término de
contratos SD 4.7.5.3 Nuevos proveedores y contratos SO 4.5 Gestión de accesos
SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación
SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la identidad
SO 4.5.5.5 Registro y seguimiento de accesos SO 4.5.5.6 Eliminar o restringir privilegios
SO 5.5 Gestión de redes SO Apéndice E Descripción detallada de la
gestión de las instalaciones SO Apéndice F Controles de acceso físico
4.1 Evaluando riesgos de
seguridad 6.2.1 Identificación de riesgos
relacionados con terceros 6.2.3 Considerar la seguridad en acuerdos con terceros
CA-3 Información de conexiones del sistema PS-7 Seguridad del personal de terceros (subcontratados)
RA-3 Evaluación de riesgos SA-1 Políticas y procedimientos para la adquisición de sistemas y
servicios SA-9 Servicios externos del sistema de información SC-7 Protección de Fronteras
PM-9 Estrategia de gestión de riesgos
4. Evaluación continua de las
vulnerabilidades y resolución de las mismas
1.1.3.1 Obtener los ANS; determinar si los ANS reflejan los requisitos del negocio.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
63
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
1. G
OB
IER
NO
Y C
ON
TRO
L D
E R
IESG
OS
DE
LA E
MP
RES
A(c
on
t)
1.1.3.2 Determinar que los ANS pueden ser monitoreados usando métricas
medibles y que dichas métricas ofrecen una visión apropiada y advertencias tempranas de un rendimiento inaceptable.
Todos los riesgos aplican
1.1.3.3 Determinar si los ANS contiene cláusulas que aseguran los servicios en caso de que hay cambios a nivel corporativo en el proveedor
1.2 OBJETIVO: Control de riesgos de la empresa
1.2.1
El proceso de control de riesgo provee una valoración completa de los riesgos para el negocio Alineando el modelo Cloud con los procedimientos establecidos por la dirección para la gestión de riesgos (si aplica).
PO3.1 Planeamiento de la orientación tecnológica PO5.3 Proceso presupuestal
PO5.4 Gestión de costos de TI PO6.3 Gestión de políticas de TI PO9.4 Evaluación de riesgos de TI
AI3.3 Mantenimiento de la infraestructura AI6.2 Evaluación de impacto, priorización y
autorización AI6.3 Cambios de emergencia DS5.2 Plan de seguridad de TI
DS5.3 Gestión de identidad DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS5.7 Protección de la tecnología de seguridad
DS9.2 Identificación y mantenimiento de elementos de la configuración
DS11.6 Requisitos de seguridad para la gestión de datos ME2.2 Revisiones de supervisión
ME2.5 Aseguramiento del control interno ME2.7 Acciones correctivas
ME4.7 Aseguramiento independiente
SS 5.1 Gestión financiera SS 5.2.2 Retorno sobre la inversión
SS 5.2.3 Retorno sobre la inversión SS 8 Estrategia y tecnología
SS 9.5 Riesgos SD 4.5.5.2 Etapa 2 — Requisitos y estrategia
SD 4.6.4 Políticas, principios y conceptos básicos
SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle) SD 5.2 Gestión de los datos y la información
SD 8.1 Análisis de impacto en el negocio ST 4.1.5.2 Preparación para la transición del servicio
ST 4.2.6.2 Crear y registrar la solicitud de cambio
ST 4.2.6.3 Revisar la solicitud de cambio ST 4.2.6.4 Valorar y evaluar el cambio ST 4.2.6.5 Autorizar el cambio
ST 4.2.6.6 Coordinar la implementación del cambio
ST 4.2.6.8 Consejo consultivo de cambios ST 4.2.6.9 Cambios de emergencia ST 4.3.5.3 Identificación de la configuración
ST 4.3.5.4 Control de la configuración ST 4.3.5.5 Contabilización y registro de
estados ST 4.6 Evaluación SO 4.3.5.1 Selección por menú
SO 4.3.5.3 Otras aprobaciones SO 4.5 Gestión de acceso
SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores SO 5.5 Gestión de redes
SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio
SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware SO 5.11 Gestión Internet/web
SO 5.13 Gestión de seguridad de la información y la operación del servicio
5.1.2 Revisión de la política de seguridad de la información
10.8.5 Sistemas de información del negocio
12.6.1 Control de vulnerabilidades técnicas
AC-1 Políticas y procedimientos de control de acceso
AT-1 Políticas y procedimientos de formación y sensibilización de seguridad
AU-1 Políticas y procedimientos para auditorías y rendición de cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y
autorización CA-3 Información de conexiones del sistema CM-1 Políticas y procedimientos para gestión de configuraciones
CP-1 Políticas y procedimientos para planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación
IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas MP-1 Políticas y procedimientos de protección de medios
PE-1 Políticas y procedimientos para la protección física y del entorno PL-1 Políticas y procedimientos para planes de seguridad
PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo RA-3 Evaluación de riesgos
RA-4 Actualización de la evaluación de riesgos RA-5 Escaneo de vulnerabilidades
SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios SC-1 Políticas y procedimientos para la protección de sistemas y
comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e
información SI-2 Corrección de defectos SI-5 Alertas, asesoría y directivas de seguridad
PM-1 Información del Plan de Programa de Seguridad
4. Evaluación continua de las
vulnerabilidades y resolución de las mismas
1.2.1.1 Determinar si la organización tiene un modelo ERM (Enterprise Risk Management).
1.2.1.2 Si hay un modelo ERM implementado, determinar si la valoración de los riesgos del Cloud Computing están alineados con los de la empresa.
1.2.1.3
Determinar si los servicios que provee el proveedor y el modelo de proceso seleccionado limitarán la disponibilidad o la ejecución de
actividades asociadas a la seguridad de la información, tales como:
Restricciones sobre la vulnerabilidad y valoración sobre los test de intrusión.
Disponibilidad de log para una auditoria.
Acceso a informes de monitorización de eventos.
Segregación de tareas.
1.2.1.4
Determinar si el enfoque del control de riesgos incluye lo siguiente:
Identificar y valorar los activos y servicios
Identificar y analizar las amenazas y vulnerabilidades con los posibles impactos sobre los activos
Análisis de la probabilidad de eventos usando identificando
escenarios.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
65
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
1. G
OB
IER
NO
Y C
ON
TRO
L D
E R
IESG
OS
DE
LA E
MP
RES
A(c
on
t)
1.2.1.4 (cont)
Aprobación documentada de la aceptación de los niveles de riesgos y
criterios.
Todos los riesgos aplican
Planes de acción contra el riesgo (control, evitar, transferir, aceptar)
1.2.1.5 Determinar si, durante la valoración de los riesgos, los valores identificados incluyen los valores tanto del proveedor y del cliente y si la clasificación de la seguridad de la información usada en el control
de riesgos está alineada.
1.2.1.6 Determinar si el control de riesgo incluye el modelo de servicio y las capacidades del proveedor de servicios y las condiciones financieras.
1.2.2 Los ANS están alineados y elaborados en conjunción con los resultados de la valoración de riesgos.
PO9.4 Evaluación de riesgos de TI 4.1 Evaluando riesgos de
seguridad
RA-3 Evaluación de riesgos
RA-4 Actualización de la evaluación de riesgos
4. Evaluación continua de las vulnerabilidades y resolución de
las mismas
1.2.2.1 Determinar si los resultados de los planes de riesgo se incorporan con
los ANS
1.2.2.2 Determinar si un servicio compartido entre el cliente/proveedor de la
valoración de riesgos se ha realizado para verificar si toso los riesgos razonables han sido identificados y si alternativas para los riesgos se
han identificado y documentado.
1.2.2.3
Cuando la valoración de riesgos del proveedor de servicio ha
identificado riesgos a controlar que son ineficientes o incomprensibles. Determinar si la organización ha realizado un análisis de los controles asegurando que dichos controles abarcan las
deficiencias identificadas por el proveedor de servicio.
1.2.3 Los riesgos son aprobados por un miembro de la dirección con la autoridad de aceptar el riesgo en nombre de la organización y que entiende la implicación de la decisión.
PO3.3 Monitoreo de tendencias y regulaciones futuras
PO3.5 Consejo de arquitectura de TI PO4.3 Comité directivo de TI
PO4.4 Ubicación organizacional de la función de TI PO4.5 Estructura organizacional de TI
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
PO6.3 Gestión de políticas de TI PO6.4 Implantación de políticas, estándares y procedimientos
PO6.5 Comunicación de los objetivos y la dirección de TI
PO8.3 Estándares para desarrollos y adquisiciones PO4.14 Políticas y procedimientos para
personal contratado DS5.1 Gestión de la seguridad de TI
SS 2.4 Principios de la gestión del servicio SS 2.6 Funciones y procesos a través del ciclo de vida
SS 6.1 Desarrollo organizacional SS 6.2 Departamentalización organizacional
SS 6.3 Diseño organizacional SS 6.5 Estrategia de sourcing SS Apéndice B2 Gerentes de producto
SD 4.3.5.7 Modelamiento y tendencias SD 4.6 Gestión de la seguridad de la información
SD 6.3 Habilidades y atributos SD 6.4 Roles y responsabilidades
SO 3.1 Funciones, grupos, equipos, departamentos y divisiones SO 3.2 Obtener balance en la operación del
servicio SO 3.2.4 Organizaciones reactivas versus
proactivas SO 3.3 Prestación del servicio SO 3.6 Comunicaciones
SO 5.13 Gestión de seguridad de la información y la operación del servicio
SO 6.1 Funciones SO 6.2 Mesa de servicios SO 6.3 Gestión técnica
SO 6.4 Gestión de operaciones de TI SO 6.5 Gestión de aplicaciones
SO 6.7 Estructuras organizacionales de operación del servicio ST 4.2.6.8 Consejo consultivo de cambios
ST 5.1 Gestión de las comunicaciones y el compromiso
ST 6.2 Contexto organizacional para la transición de servicios ST 6.3 Modelos organizacionales para
apoyar la transición de servicios
6.1.1 Compromiso de la gerencia con la seguridad de la información
AC-1 Políticas y procedimientos de control de acceso AT-1 Políticas y procedimientos de formación y sensibilización de
seguridad AU-1 Políticas y procedimientos para auditorías y rendición de cuentas
CA-1 Políticas y procedimientos de evaluación de seguridad y autorización
CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación
IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas
MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno PL-1 Políticas y procedimientos para planes de seguridad
PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo
SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios SC-1 Políticas y procedimientos para la protección de sistemas y
comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e
información PM-1 Información del Plan de Programa de Seguridad PM-2 Agente Superior de Información de Seguridad
18. Gestión de Respuesta a Incidentes
1.2.3.1 Determinar si la dirección ha realizado un análisis sobre las
cuantificaciones y la aceptación de los riesgos residuales antes de la implementación de la solución del Cloud.
1.2.3.2 Determinar si la persona aceptando tales riesgos tiene la autoridad de tomar esa decisión.
1.3 OBJETIVO: Control de los Riesgos de la Información
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
67
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
1. G
OB
IER
NO
Y C
ON
TRO
L D
E R
IESG
OS
DE
LA E
MP
RES
A(c
on
t)
1.3.1 Un marco para controlar los riesgos y la madurez del modelo ha sido implementado para cuantificar los riesgos y evaluar la eficacia del modelo de riesgos.
PO6.1 Política y entorno de control de TI PO6.2 Riesgo corporativo y marco de
referencia del control interno de TI PO6.3 Gestión de políticas de TI PO6.5 Comunicación de los objetivos y la
dirección de TI DS5.2 Plan de seguridad de TI
DS5.3 Gestión de identidad ME2.1 Monitoreo del marco de trabajo de control interno
ST 5.1 Gestión de las comunicaciones y el
compromiso SO 3.6 Comunicaciones SO 4.5 Gestión de accesos
SD 4.6.4 Políticas, principios y conceptos básicos
SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle)
5.1.1 Documento de la política de
seguridad de información
AC-1 Políticas y procedimientos de control de acceso
AT-1 Políticas y procedimientos de formación y sensibilización de seguridad AU-1 Políticas y procedimientos para auditorías y rendición de
cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y autorización
CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia
IA-1 Políticas y procedimientos para identificación y autenticación IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas
MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno
PL-1 Políticas y procedimientos para planes de seguridad PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo
SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios
SC-1 Políticas y procedimientos para la protección de sistemas y comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e
información PM-1 Información del Plan de Programa de Seguridad
4. Evaluación continua de las vulnerabilidades y resolución de
las mismas
Todos los riesgos aplican
1.3.1.1 Determinar si un marco de riesgos ha sido identificado y aprobado.
1.3.1.2 Determinar si un modelo maduro se ha usado para evaluar su eficacia.
1.3.1.3 Revisión de los resultados de un modelo maduro y determinar si la
falta de madurez afecta a los objetivos para auditar.
1.3.2 Los controles de riesgos establecidos están alineados con los riesgos identificados.
PO4.14 Políticas y procedimientos para personal contratado DS2.1 Identificación de todas las relaciones
con proveedores DS2.3 Gestión de riesgos de proveedores
DS5.4 Gestión de cuentas de usuario DS5.9 Prevención, detección y corrección de Software malicioso
DS5.11 Intercambio de datos sensitivos DS12.3 Acceso físico
AI1.2 Reporte de análisis de riesgos AI2.4 Seguridad y disponibilidad de las aplicaciones
AI3.2 Protección y disponibilidad de la infraestructura
SS 7.3 Estrategia y transiciones
SD 2.4.2 Alcance SD 3.6 Aspectos de diseño
SD 3.6.1 Diseño de soluciones de servicios SD 4.5.5.2 Etapa 2 — Requisitos y estrategia
SD 4.7.5.1 Evaluación de nuevos proveedores y contratos
SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de proveedores y contratos
SD 4.7.5.5 Renovación y/o término de contratos
SD 4.7.5.3 Nuevos proveedores y contratos SO 4.4.5.11 Errores detectados en el entorno de desarrollo
SO 4.5 Gestión de accesos SO 4.5.5.1 Peticiones de acceso
SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la
identidad SO 4.5.5.5 Registro y seguimiento de
accesos SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores
SO 5.5 Gestión de redes SO Apéndice E Descripción detallada de la gestión de las instalaciones
SO Apéndice F Controles de acceso físico
4.2 Tratamiento de los riesgos de seguridad
6.2.1 Identificación de riesgos relacionados con terceros 12.1.1 Análisis y especificación de
requisitos de seguridad
CA-3 Información de conexiones del sistema RA-3 Evaluación de riesgos
SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios
SA-3 Soporte del ciclo de vida SA-4 Adquisiciones SA-9 Servicios externos del sistema de información
SC-7 Protección de Fronteras PM-9 Estrategia de gestión de riesgos
4. Evaluación continua de las
vulnerabilidades y resolución de las mismas
1.3.2.1
Identificar los controles de tecnología y los requisitos contractuales necesarios para tomar decisiones sobre los riesgos basados en hechos. Considerar:
Uso de información
Controles de acceso
Controles de seguridad
Control de las localizaciones
Controles de privacidad
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
69
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
1. G
OB
IER
NO
Y C
ON
TRO
L D
E R
IESG
OS
DE
LA E
MP
RES
A(c
on
t)
1.3.2.2 Para SaaS, determinar que la organización ha identificado información
analítica requerida por el proveedor de servicios para dar soporte a las obligaciones contractuales relacionadas con el rendimiento, seguridad y el cumplimiento de los ANS.
Todos los riesgos aplican
1.3.2.3 Obtener los requisitos de datos analíticos, y determinar si la organización monitoriza regularmente y evalúa el cumplimiento de los
ANS.
1.3.2.4
Para PaaS, determinar que la organización ha identificado la información disponible y las prácticas de control necesarias para conseguir procesos efectivos que cumplen la disponibilidad,
confidencialidad y propiedad de la información, teniendo en cuenta la privacidad y legalidad de los procesos y/o procedimientos.
1.3.2.5 Determinar si la organización ha establecido prácticas de monitorización para identificar problemas sobre los riegos.
1.3.2.6 Para IaaS, determinar que la organización ha identificado y monitoriza el control y los procesos de seguridad necesarios para ofrecer un
entorno seguro.
1.3.2.7 Determinar si el proveedor de servicios establece meticas y controles
para asistir a los clientes en implementar sus requisitos para el control de riesgos de la información.
1.4 OBJETIVO: Control de terceros y relaciones con los mismos
1.4.1
El proveedor de servicios pone a disposición de los clientes acuerdos con terceras partes independientes, usando procedimientos de auditoría para describir las prácticas de control llevadas a cabo en las instalaciones de los diferentes terceros.
PO4.9 Propiedad de los datos y sistemas
PO6.2 Riesgo corporativo y marco de referencia del control interno de TI PO7.8 Cambios y ceses en los puestos de
trabajo DS9.2 Identificación y mantenimiento de
elementos de la configuración
7.1.2 Propiedad de los activos 8.3.2 Devolución de activos
CM-8 Inventario de componentes del sistema de información CM-9 Plan de gestión de configuración PS-4 Despidos de personal
PS-5 Trasferencias de personal PM-5 Inventario de sistemas de información
14. Mantenimiento,
monitorización y análisis de registros de auditoría de seguridad (logs)
1.4.1.1 Determinar si el proveedor de servicios tiene rutinariamente acuerdos
de terceros evaluados y emitidos.
1.4.1.2
Determinar si el ámbito de las evaluaciones de los terceros incluyen
descripciones de los siguientes procesos del proveedor:
Control de incidencias
Continuidad de negocio y recuperación en caso de catástrofe.
Copias de seguridad
1.4.1.3 Determinar si el proveedor de servicios lleva rutinariamente evaluaciones internas de confirmad de sus propias políticas,
procedimientos y disponibilidad de métricas de control.
1.4.2 El proveedor de servicios ha establecido procesos para alienar sus operaciones con los requisitos del cliente.
PO4.14 Políticas y procedimientos para personal contratado
PO6.4 Implantación de políticas, estándares y procedimientos PO8.3 Estándares para desarrollos y
adquisiciones AI5.2 Gestión de contratos con proveedores
DS2.2 Gestión de relaciones con proveedores DS2.3 Gestión de riesgos de proveedores
DS2.4 Monitoreo del desempeño de proveedores
DS5.1 Gestión de la seguridad de TI ME2.6 Control interno para terceros
SD 3.6 Aspectos de diseño
SD 3.9 Arquitectura orientada al servicio SD 3.11 Modelos para el diseño de los
servicios SD 4.2.5.9 Desarrollar contratos y relaciones
SD 4.6 Gestión de la seguridad de la información
SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de proveedores y contratos
SD 4.7.5.3 Nuevos proveedores y contratos SD 4.7.5.4 Gestión y desempeño de
proveedores y contratos SD 4.7.5.5 Renovación y/o término de contratos
SD 5.3 Gestión de aplicaciones SD 7 Consideraciones tecnológicas
ST 3.2.3 Adopción de estándares y de un marco de trabajo común ST 4.1.4 Políticas, principios y conceptos
básicos ST 4.1.5.1 Estrategia de transición SS 6.5 Estrategia de sourcing
SO 5.13 Gestión de seguridad de la información y la operación del servicio
6.2.3 Considerar la seguridad en
acuerdos con terceros
CA-3 Información de conexiones del sistema
PS-7 Seguridad del personal de terceros (subcontratados) SA-9 Servicios externos del sistema de información
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
71
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
1. G
OB
IER
NO
Y C
ON
TRO
L D
E R
IESG
OS
DE
LA E
MP
RES
A(c
on
t) 1.4.2.1
Determinar si el gobierno de seguridad de la información, control de
riesgos y los procesos de cumplimiento del proveedor de servicios son evaluados rutinariamente e incluyen:
Todos los riesgos aplican
Evaluación de riesgos y revisión de los servicios para el control de debilidades.
Definición de servicios críticos, factores de seguridad de la información e indicadores clave de rendimiento.
Frecuencia de las evaluaciones
Procesos de mitigación para asegurar tiempos de respuesta de errores
identificados.
Revisión de leyes, regulaciones y requisitos contractuales
Supervisión del proveedor de los riesgos de sus propios proveedores críticos.
Términos de uso para identificar roles, responsabilidades y el detalle contable del proveedor de servicio.
Revisión de las responsabilidades legales del proveedor.
1.4.3 El cliente realiza controles para asegurar el cumplimiento con la regulación y los requerimientos establecidos.
PO4.6 Establecer roles y responsabilidades PO7.1 Reclutamiento y retención del
personal PO7.6 Verificación de antecedentes del personal
PO9.1 Marco de trabajo de gestión de riesgos
PO9.2 Establecimiento del contexto del riesgo PO9.4 Evaluación de riesgos de TI
DS2.3 Gestión de riesgos de proveedores DS4.1 Marco de trabajo de continuidad de TI
DS4.3 Recursos críticos de TI
SS 2.6 Funciones y procesos a través del ciclo de vida SS 9.5 Riesgos
SD 4.4.5.2 Actividades proactivas de la gestión de la disponibilidad
SD 4.5 Gestión de continuidad de servicios de TI SD 4.7.5.3 Nuevos proveedores y contratos
SD 6.2 Análisis de actividades SD 6.4 Roles y responsabilidades
SD 8.1 Análisis de impacto en el negocio ST 6.3 Modelos organizacionales para apoyar la transición de servicios
ST 4.6 Evaluación SO 6.6 Roles y responsabilidades en la
operación del servicio CSI 6 Organización para la mejora continua CSI 5.6.3 Gestión de continuidad de
servicios de TI
8.1.2 Verificación 14.1.2 Continuidad del negocio y
evaluación de riesgos
CP-2 Plan de contingencia
PS-3 Encuestas previas RA-1 Políticas y procedimientos para la evaluación del riesgo RA-2 Categorización de seguridad
RA-3 Evaluación de riesgos RA-4 Actualización de la evaluación de riesgos
RA-5 Escaneo de vulnerabilidades PM-9 Estrategia de gestión de riesgo
1.4.3.1 Determinar si el cliente ha realizado los procedimientos esperados con
respecto al gobierno de la seguridad de información del proveedor del servicio, el control de riesgos y los procesos de cumplimiento como los
descritos en el apartado 2.14.2.
1.4.3.2
Determinar si el cliente tiene planes de contingencia para la pérdida
de servicio por parte del proveedor incluyendo:
Un plan de continuidad de negocio y plan de recuperación en caso de
catástrofe para diferentes escenarios de interrupción de servicio.
Test de continuidad de negocio y plan de recuperación antes desastres (PRD).
Incluir un análisis de impacto a usuarios y negocio en el plan de continuidad.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
73
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
2. D
ESC
UB
RIM
IEN
TO L
EGA
L Y
ELEC
TRÓ
NIC
O
2.1 OBJETIVO: El proveedor de servicios y el cliente establecen acuerdos y procedimientos para asegurar que las obligaciones satisfacen las necesidades del cliente.
Todos los riesgos aplican
2.1.1
El equipo de contrataciones que representa al cliente en términos legales, financieros, seguridad de la información y unidades de negocio ha identificado e incluido los requisitos contractuales desde la perspectiva del cliente, y el equipo legal del proveedor de servicios ha asegurado la satisfacción del cliente.
PO6.1 Política y entorno de control de TI AI3.3 Mantenimiento de la infraestructura
AI6.2 Evaluación de impacto, priorización y autorización
AI6.3 Cambios de emergencia DS5.5 Pruebas, vigilancia y monitoreo de la seguridad
DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de
seguridad DS8.2 Registro de consultas de clientes DS9.2 Identificación y mantenimiento de
elementos de la configuración
SS 6.4 Cultura organizacional SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle)
SD 4.6.5.2 Gestión de brechas de seguridad e incidentes SO 4.1.5.3 Detección de eventos
SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos
SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger SO 4.2.5.1 Identificación de incidentes
SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de incidentes
SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial SO 4.3.5.1 Selección por menú
SO 4.3.5.1 Selección por menú SO 4.3.5.3 Otras aprobaciones
SO 4.5.5.6 Eliminar o restringir privilegios SO 5.13 Gestión de seguridad de la información y la operación del servicio
SO 5.4 Gestión y soporte de servidores SO 5.5 Gestión de redes
SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio SO 5.9 Soporte de estaciones de trabajo
SO 5.10 Gestión de middleware SO 5.11 Gestión Internet/web
ST 4.1.5.2 Preparación para la transición del servicio ST 4.2.6.2 Crear y registrar la solicitud de
cambio ST 4.2.6.3 Revisar la solicitud de cambio ST 4.2.6.4 Valorar y evaluar el cambio
ST 4.2.6.5 Autorizar el cambio ST 4.2.6.6 Coordinar la implementación del
cambio ST 4.2.6.8 Consejo consultivo de cambios ST 4.2.6.9 Cambios de emergencia
ST 4.3.5.3 Identificación de la configuración ST 4.3.5.4 Control de la configuración
ST 4.3.5.5 Contabilización y registro de estados ST 4.6 Evaluación
12.6.1 Control de vulnerabilidades técnicas
13.2.1 Responsabilidades y procedimientos
IR-1 Políticas y procedimientos de respuesta a incidentes RA-3 Evaluación de riesgos RA-5 Escaneo de vulnerabilidades
SI-2 Corrección de defectos SI-5 Alertas, asesoría y directivas de seguridad
2.1.1.1 Determinar si los acuerdos contractuales definen responsabilidades
para ambas partes relacionadas con la búsqueda y controles de litigación, preservación de evidencias y los testimonios de los expertos.
2.1.1.2 Determinar que el contrato del proveedor de servicios garantiza al cliente que sus datos son preservados y guardados, incluyendo los
datos principales y la información secundaria (metadatos y logs)
2.1.1.3 Determinar que el proveedor entiende sus obligaciones contractuales para ofrecer garantías de los datos del cliente. Revisar los contratos para determinar si esto se cumple.
2.1.1.4
Determinar que las laborares de monitorización del contrato por parte del cliente son completas, incluyendo al menos:
Diligencias debidas al precontrato
Negociaciones de los términos del contrato
Transferencia de la custodia de la información
Firma del contrato o renegociación de los términos
Transición de procesamiento
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
75
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
2. D
ESC
UB
RIM
IEN
TO L
EGA
L Y
ELEC
TRÓ
NIC
O(c
on
t)
2.1.1.5
Determinar que el contrato estipula y ambas partes entienden sus
obligaciones para terminar la relación de forma esperada o no, durante o después de las negociaciones, y el contrato y/o el acuerdo previo provee de las guías necesarias para devolver de forma
adecuada y ordenada los activos.
Todos los
riesgos aplican
2.1.1.6 Determinar que el contrato identifica específicamente las
responsabilidades en caso de violación de datos en ambas partes y se definen procesos cooperativos a implementar durante la investigación
y el seguimiento.
2.1.1.7 Determinar que el acuerdo da la posibilidad al cliente para acceder a
los servicios de rendimiento del proveedor y pruebas para las vulnerabilidades de forma regular.
2.1.1.8 Determinar que el contrato establece los derechos y las obligaciones para ambas partes durante la transición y las conclusiones de la
relación una vez que el contrato termina.
2.1.1.9
Determinar si el contrato establece los siguientes procesos de
protección de datos: Completa disposición de las prácticas y procedimientos internos del proveedor de servicios.
Políticas de retención de datos de acuerdo a los requisitos legales locales.
Presentación de informes de la localización geográfica de los datos del cliente.
Circunstancias en los cuales los datos pueden incautados y la notificación de dichos eventos.
Notificación de citaciones o descubrimiento de cualquier dato o
proceso del cliente.
Penalizaciones por fugas/violaciones de información
Protección contra “contaminación” de datos entre clientes. (compartimentación)
2.1.1.10 Requisitos de cifrado de datos en tránsito, finales y de backup están claramente identificados en los acuerdos contractuales del cloud.
2.1.2 El cliente ha implementado controles de monitorización apropiados para asegurar que se cumplen las obligaciones contractuales.
PO7.8 Cambios y ceses en los puestos de trabajo
DS5.4 Gestión de cuentas de usuario
SO 4.5 Gestión de accesos SO 4.5.5.1 Peticiones de acceso
SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios
SO 4.5.5.4 Monitorear el estado de la identidad SO 4.5.5.5 Registro y seguimiento de
accesos SO 4.5.5.6 Eliminar o restringir privilegios
SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle) SD 4.6.5.2 Gestión de brechas de seguridad
e incidentes
8.3.1 Responsabilidades en el cese PS-4 Despidos de personal PS-5 Trasferencias de personal
14. Mantenimiento,
monitorización y análisis de registros de auditoría de seguridad (logs)
2.1.2.1 Determinar que el cliente ha asegurado y establecido controles con las
obligaciones contractuales para asegurar retención de los datos y la propiedad intelectual y la privacidad de los datos personales están
contenidos en los datos.
2.1.2.2 Determinar que el cliente ha desarrollado elementos de
monitorización apropiados para supervisar los procesos de rendimiento del proveedor de los requisitos del contrato.
2.1.2.3 Determinar que el cliente ha establecido monitorizaciones internas para identificar deficiencias contractuales del lado del cliente.
2.2 OBJETIVO: Cumplimiento legal
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
77
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
2. D
ESC
UB
RIM
IEN
TO L
EGA
L Y
ELEC
TRÓ
NIC
O(c
on
t)
2.2.1 El cumplimiento legal de acuerdo a leyes locales como globales están definidas como componentes del contrato.
PO4.8 Responsabilidad sobre el riesgo, la
seguridad y el cumplimiento' DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS5.7 Protección de la tecnología de seguridad
ME2.5 Aseguramiento del control interno ME3.1 Identificación de los requisitos legales, regulatorios y de cumplimiento
contractual
SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores SO 5.13 Gestión de seguridad de la
información y la operación del servicio SD 6.4 Roles y responsabilidades
15.1.1 Identificación de legislación
aplicable 15.1.2 Derechos de propiedad intelectual
15.2.2 Verificación de cumplimiento técnico
AC-1 Políticas y procedimientos de control de acceso
AT-1 Políticas y procedimientos de formación y sensibilización de seguridad AU-1 Políticas y procedimientos para auditorías y rendición de
cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y autorización
CA-2 Evaluación de seguridad CA-7 Monitorización continua
CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia IA-1 Políticas y procedimientos para identificación y autenticación
IA-7 Módulo criptográfico de autenticación IR-1 Políticas y procedimientos de respuesta a incidentes
MA-1 Políticas y procedimientos para mantenimiento de sistemas MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del entorno
PL-1 Políticas y procedimientos para planes de seguridad PS-1 Políticas y procedimientos para la seguridad del personal
RA-1 Políticas y procedimientos para evaluación del riesgo RA-5 Escaneo de vulnerabilidades SA-1 Políticas y procedimientos para la adquisición de sistemas y
servicios SA-6 Restricciones de uso del software
SC-1 Políticas y procedimientos para la protección de sistemas y comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e
información PM-1 Información del Plan de Programa de Seguridad
Todos los riesgos aplican
2.2.1.1 Determinar si las leyes globales y locales están definidas y consideradas en el contrato.
2.2.1.2 Determinar si el proveedor de servicio y el cliente tienen acordados procesos unificados para respuestas de citaciones, procesos de
servicio, y otras peticiones legales.
3. A
UD
ITO
RIA
Y C
UM
PLI
MIE
NTO
3.1 OBJETIVO: Auditar y cumplir los acuerdos definidos
Todos los riesgos aplican
3.1.1 El derecho de auditar, tal y como se especifica en el contrato, permite al cliente llevar a cabo controles de evaluación.
DS5.5 Pruebas, vigilancia y monitoreo de la seguridad
DS5.7 Protección de la tecnología de seguridad ME2.5 Aseguramiento del control interno
AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las
aplicaciones
SO 4.4.5.11 Errores detectados en el
entorno de desarrollo SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores
SO 5.13 Gestión de seguridad de la información y la operación del servicio SD 3.6.1 Diseño de soluciones de servicios
15.3.1 Controles de auditoría de sistemas de información 15.3.2 Protección de herramientas
de auditoría de sistemas de información
AU-1 Políticas y procedimientos de auditorías y responsabilidades
AU-2 Eventos auditables AU-9 Protección de la información de auditoría PL-6 Planificación de actividades relacionadas con la seguridad
14. Mantenimiento,
monitorización y análisis de registros de auditoría de seguridad (logs)
3.1.1.1 Revisar el derecho de auditar en el contrato y determinar si las actividades de auditoría están restringidas o reducidas por el proveedor de servicios.
3.1.1.2 Si se identifican problemas en los derechos de auditoría, preparar a un resumen de las recomendaciones y transmitirlas al proveedor de
servicios. Si es necesario y apropiado, escalarlo al comité de auditoría.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
79
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
3. A
UD
ITO
RIA
Y C
UM
PLI
MIE
NTO
(co
nt)
3.1.2
El proveedor de servicios facilita informes de revisiones de terceras partes (por ejemplo, auditoras externas) que demuestran su cumplimiento con los requisitos establecidos. El informe describe los controles y certifica que han sido probados usando criterios reconocidos.
AI2.3 Control y auditabilidad de las aplicaciones DS5.6 Definición de incidente de seguridad
DS5.7 Protección de la tecnología de seguridad
DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes
SD 4.6.5.1 Controles de seguridad
(cobertura de alto nivel, sin detalle) SD 4.6.5.2 Gestión de brechas de seguridad e incidentes
SO 4.1.5.3 Detección de eventos SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos
SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger
SO 4.1.5.8 Selección de respuestas SO 4.1.5.10 Cerrar eventos SO 4.2.5.1 Identificación de incidentes
SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de incidentes
SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial SO 4.2.5.6 Escalamiento de incidentes
SO 4.2.5.7 Investigación y diagnóstico SO 4.2.5.8 Resolución y recuperación
SO 4.2.5.9 Cierre de incidentes SO 4.3.5.1 Selección por menú SO 5.4 Gestión y soporte de servidores
SO 5.9 Soporte de estaciones de trabajo
13.2.3 Recolección de evidencia AU-9 Protección de la información de auditoría IR-4 Manejo de incidentes
14. Mantenimiento,
monitorización y análisis de registros de auditoría de
seguridad (logs)
Todos los riesgos aplican
3.1.2.1 Obtener informes de terceros.
3.1.2.2 Determinar que los informes abordan los entornos de control utilizados por el cliente.
3.1.2.3 Determinar que las descripciones y los procesos son relevantes para los clientes del proveedor de servicios.
3.1.2.4 Determinar que los informes describen los controles clave necesarios para evaluar el cumplimiento con los objetivos de control apropiados.
3.1.2.5 Determinar que los informes y pruebas van a satisfacer con garantías al cliente y a los requisitos de cumplimiento de todas las regulaciones
que tienen jurisdicción sobre el cliente.
3.1.2.6 Comparar el alcance de la auditoría llevada a cabo por el cliente y la auditoría realizada por terceros externos identificando posibles puntos adicionales a añadir.
3.1.2.7 Determinar si las relaciones del proveedor de servicios cruzan
fronteras internacionales y esto afecta la capacidad para confiar en los informes de los socios.
3.2 OBJETIVO: Cumplir los requisitos de y para la auditoria
3.2.1 Control: El cliente realiza auditorías adicionales para complementar las auditorías externas de terceros.
AI2.3 Control y auditabilidad de las aplicaciones DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS5.7 Protección de la tecnología de
seguridad ME2.5 Aseguramiento del control interno
SO 4.5.5.6 Eliminar o restringir privilegios SO 5.4 Gestión y soporte de servidores
SO 5.13 Gestión de seguridad de la información y la operación del servicio
10.10.1 Logs de auditoría 10.10.5 Logs de errores
15.3.1 Controles de auditoría de sistemas de información
AU-1 Políticas y procedimientos de auditorías y responsabilidades AU-2 Eventos auditables
AU-3 Contenido de registros de auditorías AU-4 Capacidad de almacenamiento de auditorías AU-5 Respuesta a fallos de procesos de auditoría
AU-6 Revisión, análisis y reporte de auditorías AU-8 Time Stamps (marcas de tiempo)
AU-11 Retención de registros de auditoría AU-12 Generación de auditoría PL-6 Planificación de actividades relacionadas con la seguridad
SI-2 Corrección de defectos
14. Mantenimiento, monitorización y análisis de
registros de auditoría de seguridad (logs)
3.2.1.1 Determinar, una vez recibidos los informes de auditorías externas, si son necesarias auditorías internas adicionales.
3.2.1.2 Planificar con el proveedor, de manera detallada, aquellas auditorías y revisiones que sean necesarias. Nota: Utilizar planes de auditoría apropiados para estas revisiones.
3.3 OBJETIVO: Ámbito de cumplimiento
El uso del Cloud Computing no invalida o viola ningún punto del acuerdo de cumplimiento del cliente.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
81
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
3. A
UD
ITO
RIA
Y C
UM
PLI
MIE
NTO
(co
nt)
3.3.1 Control: Determinar si los datos de Cloud Computing violan alguno de los puntos definidos en los estamentos reguladores de la información.
DS1.5 Monitoreo y reporte del
cumplimiento de los niveles de servicio DS2.4 Monitoreo del desempeño de
proveedores ME2.6 Control interno para terceros AI2.4 Seguridad y disponibilidad de las
aplicaciones AI7.7 Pruebas de aceptación final
SS 5.3 Gestión del portafolio de servicios
SD 3.6.1 Diseño de soluciones de servicios SD 4.2.5.3 Monitorear el desempeño del servicio contra el ANS
SD 4.2.5.6 Generar reportes del servicio SD 4.2.5.7 Ejecutar revisiones del servicio e instigar mejoras dentro del plan general de
mejoramiento del servicio SD 4.2.5.10 Reclamos y reconocimientos
SD 4.3.8 Gestión de la información SD 4.7.5.4 Gestión y desempeño de proveedores y contratos
CSI 4.2 Reportes del servicio CSI 4.3 Mediciones del servicio
SO 4.4.5.11 Errores detectados en el entorno de desarrollo ST 4.4.5.4 Pruebas y pilotos del servicio
ST 4.5.5.5 Ejecutar pruebas ST 4.5.5.6 Evaluar criterios de fin de
pruebas y reportar
10.2.2 Monitoreo y revisión de los servicios de terceros 12.5.4 Fuga de información
AC-4 Ejecución del flujo de la información PE-19 Fuga de información
SA-9 Servicios externos del sistema de información
Todos los riesgos aplican
3.3.1.1 Determinar si el cliente ha identificado las regulaciones legales y
requisitos que debe cumplir (EU Data Directive, PCAOB AS5, PCI DSS, HIPAA).
3.3.1.2 Determinar si el cliente ha determinado los requisitos para minimizar la duplicidad.
3.3.1.3
De acuerdo con la información aportada por los planes de riesgo y gobierno de la compañía así como por el área legal y auditoría,
elaborar un análisis cuyo objetivo sea establecer si existen requerimientos legales que no pueden ser cumplidos por el modelo de
Cloud Computing establecido.
3.3.2
Control: Los escenarios de despliegue (SaaS, PaaS, IaaS) definen las responsabilidades de protección de datos entre el cliente y el proveedor de servicios, y estas responsabilidades están claramente establecidas.
DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad ME1.2 Definición y recolección de los datos de monitoreo
ME2.2 Revisiones de supervisión ME2.5 Aseguramiento del control interno
ME4.7 Aseguramiento independiente
SO 4.5.5.6 Eliminar o restringir privilegios SO 5.13 Gestión de seguridad de la
información y la operación del servicio SD 4.2.5.10 Reclamos y reconocimientos
CSI 4.1c Paso 3 — Recolección de datos CSI 4.1 d Paso 4 — Procesar los datos
10.10.2 Monitoreo del uso de los sistemas
AU-1 Políticas y procedimientos de auditorías y responsabilidades
AU-6 Revisión, análisis y reporte de auditorías AU-7 Reducción de auditoría y generación de informes PE-6 Monitorización del acceso físico
PE-8 Registro de accesos SC-7 Protección de Fronteras
SI-4 Monitorización del sistema de información
3.3.2.1 Determinar si las responsabilidades para la protección de datos están
basadas en los riesgos para el escenario de despliegue establecido.
3.3.2.2 Revisar el contrato para determinar la asignación de
responsabilidades.
3.3.2.3 Basado en el contrato, determinar si tanto el cliente como el proveedor de servicio han establecido unas medidas de protección de datos apropiadas para cubrir sus responsabilidades.
3.4 OBJETIVO: Certificación ISO 27001
Garantizar la seguridad del proveedor de servicios se sigue la certificación ISO 27001.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
83
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
3. A
UD
ITO
RIA
Y C
UM
PLI
MIE
NTO
(co
nt)
3.4.1 Control: La certificación ISO 27001 garantiza que el proveedor de servicios sigue las mejores prácticas de seguridad.
PO4.8 Responsabilidad sobre el riesgo, la
seguridad y el cumplimiento PO6.2 Riesgo corporativo y marco de referencia del control interno de TI
ME2.1 Monitoreo del marco de trabajo de control interno
ME2.2 Revisiones de supervisión ME2.3 Excepciones de control ME2.4 Autoevaluación de control
ME2.5 Aseguramiento del control interno ME2.6 Control interno para terceros
ME2.7 Acciones correctivas ME3.1 Identificación de los requisitos legales, regulatorios y de cumplimiento
contractuales
SD 6.4 Roles y responsabilidades
15.1.1 Identificación de legislación
aplicable 15.2.1 Cumplimiento con políticas y estándares de seguridad
AC-1 Políticas y procedimientos de control de acceso
AC-2 Gestión de cuentas AT-1 Políticas y procedimientos de formación y sensibilización de seguridad
AU-1 Políticas y procedimientos para auditorías y rendición de cuentas CA-1 Políticas y procedimientos de evaluación de seguridad y
autorización CA-2 Evaluación de seguridad
CA-7 Monitorización continua CM-1 Políticas y procedimientos para gestión de configuraciones CP-1 Políticas y procedimientos para planes de contingencia
IA-1 Políticas y procedimientos para identificación y autenticación IA-7 Módulo criptográfico de autenticación
IR-1 Políticas y procedimientos de respuesta a incidentes MA-1 Políticas y procedimientos para mantenimiento de sistemas MP-1 Políticas y procedimientos de protección de medios
PE-1 Políticas y procedimientos para la protección física y del entorno PE-8 Registro de accesos
PL-1 Políticas y procedimientos para planes de seguridad PS-1 Políticas y procedimientos para la seguridad del personal RA-1 Políticas y procedimientos para evaluación del riesgo
SA-1 Políticas y procedimientos para la adquisición de sistemas y servicios
SC-1 Políticas y procedimientos para la protección de sistemas y comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas e
información SI-12 Manejo y retención de salida de información
PM-1 Información del Plan de Programa de Seguridad
Todos los riesgos aplican
3.4.1.1 Determinar si el proveedor de servicio ha recibido la certificación
27001. Si la tiene, ajustar los programas de auditoría para que reflejen los puntos que aparecen en la certificación.
4. P
LAN
IFIC
AC
IÓN
DE
LA M
IGR
AC
IÓN
E IN
TER
OP
ERA
BIL
IDA
D
4.1 OBJETIVO: Servicio de Planificación de la Transición
Todos los riesgos aplican
4.1.1
Control: Migración. Los procedimientos, capacidades y alternativas son establecidos, mantenidos y probados, y un plan y/o procedimiento ha sido establecido para transferir las
operaciones de Cloud Computing a un proveedor de servicios alternativo en caso de que el proveedor de servicio seleccionado no sea capaz de cumplir con los requisitos contractuales o cese su actividad.
PO3.1 Planeamiento de la orientación tecnológica
PO9.2 Establecimiento del contexto del riesgo
DS4.1 Marco de trabajo de continuidad de TI DS4.2 Planes de continuidad de TI DS4.8 Recuperación y reanudación de los
servicios de TI DS8.1 Mesa de servicios
DS8.3 Escalamiento de incidentes
SD 4.4.5.2 Actividades proactivas de la gestión de la disponibilidad
SD 4.5 Gestión de continuidad de servicios de TI
SD 4.5.5.1 Etapa 1 — Inicio SD 4.5.5.2 Etapa 2 — Requisitos y estrategia
SD 4.5.5.3 Etapa 3 — Implementación SD 4.5.5.4 Etapa 4 — Operación continua
SD Apéndice K Contenido típico de un plan de recuperación SO 4.1 Gestión de eventos
SO 4.1.5.8 Selección de respuestas SO 4.2 Gestión de incidentes SO 4.2.5.6 Escalamiento de incidentes
SO 4.2.5.7 Investigación y diagnóstico SO 4.2.5.8 Resolución y recuperación
SO 5.9 Soporte de estaciones de trabajo SO 6.2 Mesa de servicios CSI 5.6.3 Gestión de continuidad de
servicios de TI SS 8 Estrategia y tecnología
SS 9.5 Riesgos
14.1.1 Incluir la seguridad de
información en el proceso de gestión de continuidad del negocio
14.1.3 Inclusión de SI en el desarrollo e implementación de planes de continuidad
14.1.4 Marco de trabajo de BCP (Plan de Continuidad de Negocio)
CP-1 Políticas y procedimientos para planes de contingencia CP-2 Plan de contingencia
CP-3 Entrenamiento de contingencia CP-4 Pruebas y ejercicios de planes de contingencia CP-5 Actualizaciones de planes de contingencia
CP-6 Lugar de almacenaje alternativo CP-7 Lugar de procesamiento alternativo CP-8 Servicios de telecomunicación
CP-9 Backup del sistema de información CP-10 Recuperación y reconstrucción del sistema de información
8. Capacidad de recuperación de datos
4.1.1.1 Todas las soluciones Cloud
4.1.1.1.1 Determinar que los requisitos de hardware y software y la viabilidad de pasar del actual proveedor de servicios (proveedor de confianza) a otro proveedor (nuevo proveedor) ha sido documentado para cada
iniciativa de Cloud Computing.
4.1.1.1.2 Determinar que un proveedor de servicios alternativo para cada proveedor de servicios de confianza ha sido identificado y que la viabilidad de los procesos de transferencia ha sido evaluada.
4.1.1.1.3 Determinar si el análisis de viabilidad incluye los procedimientos y las estimaciones de tiempo para mover grandes volúmenes de datos, si
fuese relevante.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
85
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
4. P
LAN
IFIC
AC
IÓN
DE
LA M
IGR
AC
IÓN
E
INTE
RO
PER
AB
ILID
AD
(co
nt)
4.1.1.1.4 Determinar si el proceso de migración ha sido probado.
Todos los riesgos aplican
4.1.1.2 Soluciones para Cloud IaaS
4.1.1.2.1 Determinar si el análisis de viabilidad para transferir desde el proveedor de servicios de confianza IaaS implica cualesquiera funciones o procesos patentados/privados que pudieran impedir o
retrasasen la transferencia de las operaciones.
4.1.1.2.2 Determinar si el análisis de migración incluye los procesos para
proteger la propiedad intelectual y los datos del proveedor de servicios de confianza una vez que la transferencia se haya
completado.
4.1.1.3 Soluciones para Cloud PaaS
4.1.1.3.1 Determinar si el análisis de viabilidad incluye la identificación de los componentes y módulos de la aplicación que son privados y que podrían necesitar una programación especial durante la transferencia.
4.1.1.3.2
Determinar si el análisis de migración incluye:
Las funciones de traducción a un nuevo proveedor de servicios
Procesamiento provisional hasta que un nuevo proveedor de servicio esté en funcionamiento
Pruebas de nuevos procesos antes de la promoción de un entorno de
producción en el nuevo proveedor de servicios
4.1.1.4 Soluciones para Cloud SaaS
4.1.1.4.1
Determinar si el análisis de la migración incluye:
Un plan de copias de seguridad de los datos en un formato que sea utilizable por otras aplicaciones
Copia de seguridad periódica de los datos
Identificación de las herramientas personalizadas requeridas para procesar los datos
Prueba de la aplicación del nuevo proveedor de servicios y la debida diligencia antes de la conversión
5. N
OTI
FIC
AC
ION
ES D
E IN
CID
ENTE
S, R
ESP
UES
TAS
Y R
EPA
RA
CIO
NES
5.1
OBJETIVO: Respuesta a Incidentes. El Acuerdo de Nivel de Servicio contiene definiciones específicas de incidentes (violaciones de datos, violaciones de seguridad) y eventos (actividades sospechosas) y las responsabilidades y acciones a ser emprendidas por ambas partes.
5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 9 Distribución de Denegación de Servicio (DDoS) (continua)
5.1.1 Obtener y revisar los ANS por el contrato para determinar que los incidentes y eventos están claramente definidos y las responsabilidades asignadas.
PO5.4 Gestión de costos de TI AI4.4 Transferencia de conocimiento al
personal de operaciones y soporte DS8.4 Cierre de incidentes DS8.5 Reportes y análisis de tendencias
DS10.2 Seguimiento y resolución de problemas
SS 5.1 Gestión financiera
ST 3.2.8 Proveer sistemas para la transferencia de conocimientos y el soporte de decisiones
ST 4.4.5.5 Planificar y preparar el despliegue
ST 4.7 Gestión del conocimiento SO 3.7 Documentación SO 4.1.5.9 Revisar acciones
SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes
SO 4.4.5.2 Log de problemas SO 4.4.5.5 Investigación y diagnóstico de problemas
SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos
SO 4.4.5.8 Resolución de problemas SO 4.4.5.11 Errores detectados en el entorno de desarrollo
SO 4.6.6 Gestión del conocimiento (actividades operativas)
CSI 4.3 Mediciones del servicio
13.2.2 Aprendiendo de los incidentes de seguridad de información
IR-4 Manejo de incidentes
4. Evaluación continua de las
vulnerabilidades y resolución de las mismas 18. Gestión de Respuesta a
Incidentes
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
87
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
5. N
OTI
FIC
AC
ION
ES D
E IN
CID
ENTE
S, R
ESP
UES
TAS
Y R
EPA
RA
CIO
NES
(co
nt)
5.1.2 Revisar los acuerdos de cooperación, y evaluar las responsabilidades para la investigación de incidentes.
PO5.4 Gestión de costos de TI AI4.4 Transferencia de conocimiento al personal de operaciones y soporte
DS8.4 Cierre de incidentes DS8.5 Reportes y análisis de tendencias
DS10.2 Seguimiento y resolución de problemas
SS 5.1 Gestión financiera
ST 3.2.8 Proveer sistemas para la transferencia de conocimientos y el soporte de decisiones
ST 4.4.5.5 Planificar y preparar el despliegue ST 4.7 Gestión del conocimiento
SO 3.7 Documentación SO 4.1.5.9 Revisar acciones
SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes SO 4.4.5.2 Log de problemas
SO 4.4.5.5 Investigación y diagnóstico de problemas
SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos SO 4.4.5.8 Resolución de problemas
SO 4.4.5.11 Errores detectados en el entorno de desarrollo
SO 4.6.6 Gestión del conocimiento (actividades operativas) CSI 4.3 Mediciones del servicio
13.2.2 Aprendiendo de los
incidentes de seguridad de información
IR-4 Manejo de incidentes
9. Evaluación de las habilidades de seguridad y formación adecuadas para satisfacer las
deficiencias de seguridad
(continuación) 10 Denegación económica de servicio (EdoS) 11 Perdidas de
las claves de codificación 13 Riesgos de la protección de datos 14 Riesgos relativos a la licencia 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 20 Pérdida o robo de las copias de seguridad 21 Acceso no autorizado a los locales 22 Robo de equipos informáticos 23 Catástrofes Naturales
5.1.3 Procedimientos de notificación acordes a las leyes locales son incorporados en el proceso de incidentes y eventos.
PO4.15 Relaciones DS4.1 Marco de trabajo de continuidad de TI
DS4.2 Planes de continuidad de TI ME3.1 Identificación de los requisitos legales, regulatorios y de cumplimiento
contractual ME3.3 Evaluación del cumplimiento con
requerimientos externos ME3.4 Aseguramiento positivo del cumplimiento
SD 4.2.5.9 Desarrollar contratos y relaciones
SD 4.5 Gestión de continuidad de servicios de TI
SD 4.5.5.1 Etapa 1 — Inicio SD 4.5.5.2 Fase 2— Requisitos y estrategia SD 4.5.5.3 Fase 3 — Implementación
SD Apéndice K Contenido típico de un plan de recuperación
CSI 5.6.3 Gestión de continuidad de servicios de TI
6.1.6 Relación con las autoridades 6.1.7 Relación con grupos de interés especial
AT-5 Contacto con grupos de seguridad y asociaciones IR-6 Reportes de incidentes SI-5 Alertas, asesoría y directivas de seguridad
5.2
OBJETIVO: Monitorización de Problemas del Proveedor de Servicios. Los procesos de monitorización de problemas son implementados y usados activamente por el proveedor de servicios para documentar e informar sobre todos los incidentes definidos.
5.2.1 Obtener y revisar los procedimientos de monitorización de problemas del proveedor de servicios.
PO9.3 Identificación de eventos DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de
seguridad DS8.2 Registro de consultas de clientes
DS8.3 Escalamiento de incidentes
SS 9.5 Riesgos
ST 9 Desafíos, factores críticos de éxito y riesgos SO 4.1.5.3 Detección de eventos
SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos
SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas
SO 4.2.5.1 Identificación de incidentes SO 4.2.5.2 Log de incidentes
SO 4.2.5.3 Clasificación de incidentes SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial
SO 4.2.5.6 Escalamiento de incidentes SO 4.2.5.7 Investigación y diagnóstico
13.1.2 Reporte de debilidades de seguridad de información
PL-4 SI-2 Corrección de defectos SI-4 Monitorización del sistema de información
SI-5 Alertas, asesoría y directivas de seguridad
14. Mantenimiento, monitorización y análisis de registros de auditoría de
seguridad (logs)
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
89
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
5. N
OTI
FIC
AC
ION
ES D
E IN
CID
ENTE
S, R
ESP
UES
TAS
Y R
EPA
RA
CIO
NES
(co
nt)
5.2.2 Determinar si los requisitos de los informes de monitorización están alineados con la política de informes de incidentes establecida por el cliente.
PO5.4 Gestión de costos de TI
AI4.4 Transferencia de conocimiento al personal de operaciones y soporte DS8.4 Cierre de incidentes
DS8.5 Reportes y análisis de tendencias DS10.1 Identificación y clasificación de
problemas DS10.2 Seguimiento y resolución de problemas
SS 5.1 Gestión financiera
ST 3.2.8 Proveer sistemas para la transferencia de conocimientos y el soporte de decisiones
ST 4.4.5.5 Planificar y preparar el despliegue ST 4.7 Gestión del conocimiento
SO 3.7 Documentación SO 4.1.5.9 Revisar acciones
SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes SO 4.4.5.2 Log de problemas
SO 4.4.5.5 Investigación y diagnóstico de problemas
SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos SO 4.4.5.8 Resolución de problemas
SO 4.4.5.11 Errores detectados en el entorno de desarrollo
SO 4.6.6 Gestión del conocimiento (actividades operativas) CSI 4.3 Mediciones del servicio
13.2.2 Aprendiendo de los
incidentes de seguridad de información
IR-4 Manejo de incidentes
5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 9 Distribución de Denegación
de Servicio (DDoS) 10 Denegación económica de servicio (EdoS) 11 Perdidas de las claves de codificación 13 Riesgos de la protección de datos 14 Riesgos relativos a la licencia 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 20 Pérdida o robo de las copias de seguridad 21 Acceso no autorizado a los locales 22 Robo de equipos informáticos 23 Catástrofes Naturales
5.2.3 Obtener los informes de incidentes monitorizados durante un periodo representativo de tiempo.
AI2.3 Control y auditabilidad de las
aplicaciones DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de
seguridad DS8.2 Registro de consultas de clientes
DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes
SD 4.6.5.1 Controles de seguridad (cobertura de alto nivel, sin detalle)
SD 4.6.5.2 Gestión de brechas de seguridad e incidentes
SO 4.1.5.3 Detección de eventos SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos
SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger
SO 4.1.5.8 Selección de respuestas SO 4.1.5.10 Cerrar eventos SO 4.2.5.1 Identificación de incidentes
SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de incidentes
SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial SO 4.2.5.6 Escalamiento de incidentes
SO 4.2.5.7 Investigación y diagnóstico SO 4.2.5.8 Resolución y recuperación
SO 4.2.5.9 Cierre de incidentes SO 4.3.5.1 Selección por menú SO 5.4 Gestión y soporte de servidores
SO 5.9 Soporte de estaciones de trabajo
13.2.3 Recolección de evidencia AU-9 Protección de la información de auditoría IR-4 Manejo de incidentes
5.2.3.1
Determinar que:
El cliente fue notificado del incidente dentro de los requisitos del ANS
La reparación se hizo en tiempo acorde al alcance y riesgo del
incidente
La reparación fue apropiada
El problema fue escalado, en caso necesario
El problema fue cerrado y el cliente lo notificó de manera oportuna
5.3
OBJETIVO: Monitorización de Problemas del Cliente: El cliente ha establecido un proceso de monitorización de problemas para rastrear los incidentes internos y del proveedor de servicios.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
91
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
5. N
OTI
FIC
AC
ION
ES D
E IN
CID
ENTE
S, R
ESP
UES
TAS
Y R
EPA
RA
CIO
NES
(co
nt)
5.3.1 Obtener el procedimiento de monitorización de incidencias del cliente.
PO9.3 Identificación de eventos DS5.5 Pruebas, vigilancia y monitoreo de la seguridad
DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de
seguridad DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de incidentes
SS 9.5 Riesgos
ST 9 Desafíos, factores críticos de éxito y riesgos SO 4.1.5.3 Detección de eventos
SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos SO 4.1.5.6 Correlación de eventos
SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas
SO 4.2.5.1 Identificación de incidentes SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de incidentes
SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial
SO 4.2.5.6 Escalamiento de incidentes SO 4.2.5.7 Investigación y diagnóstico
13.1.2 Reporte de debilidades de seguridad de información
PL-4 Reglamento de comportamiento
SI-2 Corrección de defectos SI-4 Monitorización del sistema de información
SI-5 Alertas, asesoría y directivas de seguridad
5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 9 Distribución
de Denegación de Servicio (DDoS) 10 Denegación económica de servicio (EdoS) 11 Perdidas de las claves de codificación 13 Riesgos de la protección de datos 14 Riesgos relativos a la licencia 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 20 Pérdida o robo de las copias de seguridad 21 Acceso no autorizado a los locales 22 Robo de equipos informáticos 23 Catástrofes Naturales
5.3.2 Determinar si el procedimiento de monitorización de incidentes rastrea tanto los incidentes internos como los del proveedor de servicios.
PO5.4 Gestión de costos de TI
AI4.4 Transferencia de conocimiento al personal de operaciones y soporte
DS8.4 Cierre de incidentes DS8.5 Reportes y análisis de tendencias DS10.2 Seguimiento y resolución de
problemas
ST 3.2.8 Proveer sistemas para la transferencia de conocimientos y el
soporte de decisiones ST 4.4.5.5 Planificar y preparar el despliegue
ST 4.7 Gestión del conocimiento SO 3.7 Documentación SO 4.1.5.9 Revisar acciones
SO 4.1.5.10 Cerrar eventos SO 4.2.5.9 Cierre de incidentes
SO 4.4.5.2 Log de problemas SO 4.4.5.5 Investigación y diagnóstico de problemas
SO 4.4.5.6 Soluciones provisionales SO 4.4.5.7 Registro de errores conocidos
SO 4.4.5.8 Resolución de problemas SO 4.4.5.11 Errores detectados en el entorno de desarrollo
SO 4.6.6 Gestión del conocimiento (actividades operativas)
CSI 4.3 Mediciones del servicio
13.2.2 Aprendiendo de los
incidentes de seguridad de información
IR-4 Manejo de incidentes
5.3.3 Seleccionar una muestra de incidentes y determinar que:
PO9.3 Identificación de eventos DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de
seguridad DS8.2 Registro de consultas de clientes
DS8.3 Escalamiento de incidentes
SS 9.5 Riesgos
ST 9 Desafíos, factores críticos de éxito y riesgos
SO 4.1.5.3 Detección de eventos SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos
SO 4.1.5.6 Correlación de eventos SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas
SO 4.2.5.1 Identificación de incidentes SO 4.2.5.2 Log de incidentes
SO 4.2.5.3 Clasificación de incidentes SO 4.2.5.4 Priorización de incidentes SO 4.2.5.5 Diagnóstico inicial
SO 4.2.5.6 Escalamiento de incidentes SO 4.2.5.7 Investigación y diagnóstico
13.1.2 Reporte de debilidades de seguridad de información
PL-4 Reglamento de comportamiento SI-2 Corrección de defectos SI-4 Monitorización del sistema de información
SI-5 Alertas, asesoría y directivas de seguridad
4. Evaluación continua de las vulnerabilidades y resolución de
las mismas 8. Capacidad de recuperación de datos
14. Mantenimiento, monitorización y análisis de
registros de auditoría de seguridad (logs) 18. Gestión de Respuesta a
Incidentes
5.3.3.1
El proveedor de servicios notificó al cliente en una base temporal acorde con el alcance del contrato
La reparación se hizo en tiempo respecto al alcance y riesgo del incidente
La reparación fue apropiada
El problema fue escalado en la jerarquía del proveedor de servicios
El problema fue cerrado por el proveedor de servicios
5.3.3.2 El problema fue monitorizado y notificado a la gestión del cliente
5.3.3.3 Los procedimientos del cliente fueron modificados para reconocer el riesgo aumentado
Los incidentes internos del cliente fueron grabados por el cliente, notificados de forma apropiada, reparados y cerrados
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
93
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
6. D
ESA
RR
OLL
O D
E LA
S A
PLI
CA
CIO
NES
6.1 OBJETIVO: Arquitectura de la Seguridad de Aplicaciones
4 Falta de recursos de la nube 5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 8 Eliminar los datos de una forma insegura o ineficaz 12 Riesgos derivados del cambio de jurisdicción 14 Riesgos relativos a la licencia 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación) 24 Conflictos entre los usuarios en el endurecimiento de las políticas del Cloud 25 Desafíos de Cumplimiento
6.1.1
Arquitectura de la Seguridad de Aplicaciones: El diseño de las aplicaciones basadas en Cloud incluyen arquitecturas expertas en la materia de la seguridad de la información y de la seguridad de las aplicaciones,
AI3.3 Mantenimiento de la infraestructura AI6.2 Evaluación de impacto, priorización y
autorización AI6.3 Cambios de emergencia DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS5.7 Protección de la tecnología de
seguridad DS9.2 Identificación y mantenimiento de elementos de la configuración
SO 4.3.5.1 Selección por menú
SO 4.3.5.3 Otras aprobaciones SO 4.5.5.6 Eliminar o restringir privilegios
SO 5.13 Gestión de seguridad de la información y la operación del servicio SO 5.4 Gestión y soporte de servidores
SO 5.5 Gestión de redes SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio
SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware
SO 5.11 Gestión Internet/web ST 4.1.5.2 Preparación para la transición del servicio
ST 4.2.6.2 Crear y registrar la solicitud de cambio
ST 4.2.6.3 Revisar la solicitud de cambio ST 4.2.6.4 Valorar y evaluar el cambio ST 4.2.6.5 Autorizar el cambio
ST 4.2.6.6 Coordinar la implementación del cambio
ST 4.2.6.8 Consejo consultivo de cambios ST 4.2.6.9 Cambios de emergencia ST 4.3.5.3 Identificación de la configuración
ST 4.3.5.4 Control de la configuración ST 4.3.5.5 Contabilización y registro de
estados ST 4.6 Evaluación
12.6.1 Control de vulnerabilidades
técnicas
RA-3 Evaluación de riesgos RA-5 Escaneo de vulnerabilidades
SI-2 Corrección de defectos SI-5 Alertas, asesoría y directivas de seguridad
3. Configuración segura de hardware y software en portátiles, estaciones de trabajo
y servidores 6. Software de seguridad de
aplicación
6.1.1.1 Obtener la documentación del diseño de la aplicación, y revisar las políticas de participación de expertos en el diseño del sistema
6.1.1.2 Determinar que tanto especialistas en seguridad de la información como especialistas en arquitectura han participado plenamente
durante la planificación y desarrollo de las aplicaciones tipo Cloud.
6.1.1.3 Seleccionar implementaciones recientes, y revisar el proyecto y los
planes de desarrollo para probar la participación de expertos en seguridad de la información y expertos en la materia.
6.1.2
Gestión de la Configuración y Abastecimiento: La gestión de la configuración y procedimientos de abastecimiento están segregados del proveedor de servicios, limitados a una función de seguridad en las operaciones dentro de la organización del cliente y proporcionan pistas de auditoría para documentar todas las actividades.
DS1.1 Marco de trabajo para la gestión de
niveles de servicio DS1.2 Definición de servicios
DS1.3 Acuerdos de niveles de servicio DS2.4 Monitoreo del desempeño de proveedores
SS 2.6 Funciones y procesos a través del ciclo de vida
SS 4.2 Desarrollar las ofertas SS 4.3 Desarrollar activos estratégicos SS 4.4 Preparar la ejecución
SS 5.5 Gestión de la demanda SS 7.2 Estrategia y diseño
SS 7.3 Estrategia y transiciones SS 7.4 Estrategia y operaciones SS 7.5 Estrategia y mejora
SS 8.2 Interfaces del servicio SD 3.1 Metas
SD 3.2 Diseño balanceado SD 3.4 Identificar y documentar los requisitos y drivers del negocio
SD 4.2.5.1 Diseñar el marco operativo para el ANS
SD 4.2.5.2 Requisitos acordados y documentados de los nuevos servicios; definir los requisitos de los niveles de
servicios SD 4.2.5.9 Desarrollar contratos y relaciones
SD 4.7.5.4 Gestión y desempeño de proveedores y contratos
SD Apéndice F Probar los ANS y Acuerdos de Niveles de Operación
10.2.1 Entrega de servicios SA-9 Servicios externos del sistema de información
14. Mantenimiento, monitorización y análisis de
registros de auditoría de seguridad (logs)
6.1.2.1 Obtener la arquitectura de seguridad de la gestión de configuración y abastecimiento
6.1.2.2 Determinar si el proveedor de servicios no puede configurar o aprovisionar usuarios (tanto administrativos como normales), lo cual
puede afectar a la integridad de los datos, acceso o a la seguridad
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
95
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
6. D
ESA
RR
OLL
O D
E LA
S A
PLI
CA
CIO
NES
(co
nt)
6.1.2.3 Determinar si existen registros y pistas de auditoría, y grabar dichas
actividades y cómo son monitorizadas y revisadas
4 Falta de recursos de la nube 5 Proveedor del Cloud malicioso con abuso de sus altos privilegios 8 Eliminar los datos de una forma insegura o ineficaz 12 Riesgos derivados del cambio de jurisdicción 14 Riesgos relativos a la licencia 18 Escalada de privilegios
19 Ataques de ingeniería social (suplantación) 24 Conflictos entre los usuarios en el endurecimiento de las políticas del Cloud 25 Desafíos de Cumplimiento
6.2 OBJETIVO: Cumplimiento: Los requisitos de cumplimiento son una parte integral del diseño e implementación de la arquitectura de seguridad de la aplicación.
6.2.1
Cumplimiento: El SDLC incluye procesos para asegurar que los requisitos de cumplimiento están identificados, asignados a la aplicación basada en Cloud, e incluidos en el producto final. Los vacíos de cumplimiento son escalados a la alta dirección correspondiente para la renuncia de su aprobación
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento PO6.4 Implantación de políticas, estándares
y procedimientos DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS11.2 Acuerdos para el almacenamiento y la conservación
ME2.2 Revisiones de supervisión ME2.5 Aseguramiento del control interno
ME4.7 Aseguramiento independiente
SO 4.5.5.6 Eliminar o restringir privilegios
SO 5.13 Gestión de seguridad de la información y la operación del servicio SO 5.6 Almacenamiento y archivo
SD 5.2 Gestión de los datos y la información SD 6.4 Roles y responsabilidades
6.1.8 Revisión independiente de la seguridad de la información 15.1.3 Protección de registros
organizacionales
AU-9 Protección de la información de auditoría AU-11 Retención de registros de auditoría
CA-2 Evaluación de seguridad CA-7 Monitorización continua
CP-9 Backup del sistema de información MP-1 Políticas y procedimientos de protección de medios MP-4 Medios de almacenamiento
SA-5 Documentación del sistema de información SI-12 Manejo y retención de salida de información
6.2.1.1 Obtener el análisis de cumplimiento utilizado como base para la
autorización de la puesta en marcha de una aplicación basada en Cloud.
6.2.1.2 Determinar si se realiza una revisión de cumplimiento formal y si se requiere autorización de la alta dirección cuando las políticas internas
de seguridad de la información requieren una dispensa para permitir la implementación de la aplicación basada en Cloud
6.3
OBJETIVO: Herramientas y Servicios: El uso de las herramientas de desarrollo, bibliotecas de gestión de aplicación y otro software está evaluado para asegurar que su uso no tendrá un impacto negativo respecto a la seguridad de la aplicación.
6.3.1
Herramientas y Servicios: Todas las herramientas y servicios utilizados en el desarrollo, gestión y monitorización de las aplicaciones están detalladas, y la propiedad está documentada, y su efecto en la seguridad de la aplicación está explícitamente analizada
AI2.3 Control y auditabilidad de las
aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones
DS5.7 Protección de la tecnología de seguridad
SD 3.6.1 Diseño de soluciones de servicios SO 4.4.5.11 Errores detectados en el entorno de desarrollo
SO 5.4 Gestión y soporte de servidores
15.3.2 Protección de herramientas
de auditoría de sistemas de información
AU-9 Protección de la información de auditoría
6.3.1.1 Obtener un análisis de herramientas y servicios en uso
6.3.1.2 Determinar si la propiedad de cada herramienta y servicio ha sido identificada
6.3.1.3 Determinar si los riesgos de la seguridad de la información han sido
evaluados para cada herramienta y servicio. Si uno es considerado un riesgo de seguridad, determinar la disposición (escalamiento, renuncia al uso o no permitir el uso del software en un entorno tipo Cloud).
6.3.1.4 Examinar ejemplos de peticiones escaladas, y determinar la adherencia a procedimientos.
6.4
OBJETIVO: Funcionalidad de la Aplicación: Para implementaciones SaaS, la aplicación subcontratada a la nube contiene la funcionalidad apropiada y los controles de procesamiento requeridos por las políticas de control del usuario en el ámbito del procesamiento (financiero, operacional, etc.).
6.4.1 Funcionalidad de la Aplicación: La funcionalidad de la aplicación está sujeta a un examen de control como parte del proceso de verificación auditable de la aplicación del cliente
AI2.3 Control y auditabilidad de las aplicaciones DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad ME2.5 Aseguramiento del control interno
SO 4.5.5.6 Eliminar o restringir privilegios SO 5.13 Gestión de seguridad de la
información y la operación del servicio
15.3.1 Controles de auditoría de sistemas de información
AU-1 Políticas y procedimientos de auditorías y responsabilidades AU-2 Eventos auditables
PL-6 Planificación de actividades relacionadas con la seguridad
6. Software de seguridad de aplicación
6.4.1.1 Recomendar a un programa de auditoría de aplicaciones estándar para pasos específicos
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
97
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
7. T
RA
NSM
ISIÓ
N Y
ALM
AC
ENA
MIE
NTO
DE
LA IN
FOR
MA
CIÓ
N
7.1 OBJETIVO: Cifrado. La información es transmitida y almacenada de
forma segura para prevenir accesos no autorizados y modificaciones.
6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 11 Perdidas de las claves de
codificación 13 Riesgos de la protección de datos 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 20 Pérdida o robo de las copias de seguridad 22 Robo de equipos informáticos
7.1.1 Transporte de Datos: El transporte de datos está cifrado en las redes con claves privadas conocidas únicamente por el cliente.
AI2.4 Seguridad y disponibilidad de las
aplicaciones PO2.3 Esquema de clasificación de datos
PO4.11 Segregación de funciones [sic] PO6.2 Riesgo corporativo y marco de referencia del control interno de TI
DS5.8 Gestión de llaves criptográficas DS5.9 Prevención, detección y corrección de
Software malicioso DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos del negocio para la
gestión de los datos
SD 3.6.1 Diseño de soluciones de servicios
SD 5.2 Gestión de los datos y la información ST 3.2.13 Asegurar la calidad de un servicio
nuevo o modificado SO 4.4.5.11 Errores detectados en el entorno de desarrollo
SO 5.13 Gestión de seguridad de la información y la operación del servicio
SO 5.5 Gestión de redes
10.6.1 Controles de red 10.8.1 Políticas y procedimientos
para el intercambio de información 10.8.2 Acuerdos de intercambio
12.3.1 Políticas de uso de controles criptográficos
AC-1 Políticas y procedimientos de control de acceso
AC-3 Ejecución del acceso AC-4 Ejecución del flujo de la información AC-17 Acceso Remoto
AC-18 Acceso Wireless AC-20 Uso de sistemas de información externos
CA-3 Información de conexiones del sistema CP-8 Servicios de telecomunicación IA-7 Módulo criptográfico de autenticación
PE-5 Control de acceso a dispositivos de salida PL-4 Reglamento de comportamiento
PS-6 Acuerdos de Acceso SA-9 Servicios externos del sistema de información SC-7 Protección de Fronteras
SC-8 Integridad de la trasmisión SC-9 Confidencialidad de la trasmisión
SC-10 Desconexión de la red SC-12 Establecimiento de cifrado y gestión de claves SC-13 Uso de cifrado
SC-16 Trasmisión de atributos de seguridad SC-19 VOIP SC-20 Servicio de Resolución de Direcciones (fuente fiable)
SC-21 Servicio de Resolución de Direcciones (resolutor alternativo o cache)
SC-22 Arquitectura y suministro de Nombre/Servicio de Resolución de Dirección SC-23 Autenticación de sesión
SI-9 Restricciones de entradas de información
19. Ingeniería de red segura
7.1.1.1 Obtener las políticas de cifrado y los procedimientos para el transporte de datos.
7.1.1.2
Evaluar si los procesos de cifrado incluyen lo siguiente:
Clasificación de los datos que atraviesan las redes del Cloud (alto
secreto, confidencial, confidencial de la empresa, público)
Tecnologías de cifrado en uso
Gestión de claves
Una lista de organizaciones externas a los clientes que tienen las
claves de descifrado de los datos en tránsito
7.1.2
Datos en Reposo: Los datos almacenados en una base de datos activa en producción dentro de un sistema Cloud están cifrados, con conocimiento de las claves de descifrado únicamente por parte del cliente.
PO2.3 Esquema de clasificación de datos
PO3.4 Estándares tecnológicos AI5.2 Gestión de contratos con proveedores
DS2.3 Gestión de riesgos de proveedores DS5.7 Protección de la tecnología de seguridad
DS5.9 Prevención, detección y corrección de Software malicioso DS5.11 Intercambio de datos sensitivos
SD 4.2.5.9 Desarrollar contratos y relaciones
SD 4.7.5.3 Nuevos proveedores y contratos SD 4.7.5.5 Renovación y/o término de
contratos SD 5.2 Gestión de los datos y la información SO 5.4 Gestión y soporte de servidores
SO 5.5 Gestión de redes
10.6.2 Seguridad de los servicios de red
11.4.1 Políticas de uso de los servicios de red
AC-1 Políticas y procedimientos de control de acceso
AC-5 Separación de funciones AC-6 Mínimo privilegio
AC-17 Acceso Remoto AC-18 Acceso Wireless AC-20 Uso de sistemas de información externos
SA-9 Servicios externos del sistema de información SC-8 Integridad de la trasmisión SC-9 Confidencialidad de la trasmisión
7.1.2.1 Obtener las políticas de cifrado y los procedimientos para los datos
almacenados en sistemas Cloud.
7.1.2.2 Para implementaciones SaaS, determinar si el proveedor de servicios
ha implementado cifrado para los datos en reposo.
7.1.2.3 Determinar si existe información sensible que necesita ser
almacenada exclusivamente en los sistemas del cliente para satisfacer la política del cliente, los requisitos de cumplimiento, o los de
conformidad
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
99
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
7. T
RA
NSM
ISIÓ
N Y
ALM
AC
ENA
MIE
NTO
DE
LA IN
FOR
MA
CIÓ
N(c
on
t)
7.1.3 Copia de Seguridad de los Datos: Las copias de seguridad de los datos están disponibles cifradas
PO3.4 Estándares tecnológicos
PO6.2 Riesgo corporativo y marco de referencia del control interno de TI DS4.9 Almacenamiento externo de
respaldos DS5.2 Plan de seguridad de TI DS5.3 Gestión de identidad
DS5.7 Protección de la tecnología de seguridad
DS11.2 Acuerdos para el almacenamiento y la conservación DS11.5 Respaldo y restauración
DS11.6 Requisitos de seguridad para la gestión de datos
SD 4.5.5.2 Etapa 2 — Requisitos y estrategia
SD 4.6.4 Políticas, principios y conceptos básicos SD 4.6.5.1 Controles de seguridad
(cobertura de alto nivel, sin detalle) SD 5.2 Gestión de los datos y la información
SO 5.2.3 Respaldo y restauración SO 5.4 Gestión y soporte de servidores SO 5.6 Almacenamiento y archivo
10.5.1 Respaldo de la información
11.7.2 Teletrabajo
AC-1 Políticas y procedimientos de control de acceso
AC-4 Ejecución del flujo de la información AC-17 Acceso Remoto AC-18 Acceso Wireless
CP-9 Backup del sistema de información PE-17 Lugar de trabajo alternativo
PL-4 Reglamento de comportamiento PS-6 Acuerdos de Acceso
8. Capacidad de recuperación de
datos
6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 11 Perdidas de las claves de codificación 13 Riesgos de
la protección de datos 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 20 Pérdida o robo de las copias de seguridad 22 Robo de equipos informáticos
7.1.3.1 Obtener las políticas de copia de seguridad de los datos y los procedimientos para copia de seguridad de datos basados en Cloud.
7.1.3.2 Determinar si los datos son cifrados para prevenir el acceso y divulgación no autorizados de información confidencial
7.1.3.3 Determinar si la estructura de las claves de cifrado proporciona una
adecuada confidencialidad de los datos.
7.1.3.4 Asegurar si el proceso de copia de seguridad proporciona la habilidad
de restaurar configuraciones y datos para un periodo determinado que permita análisis forense y otras actividades de evaluación.
7.1.3.5 Determinar si las pruebas en la restauración de información son llevadas a cabo de forma rutinaria.
7.1.4
Test de Confidencialidad de Datos: Los datos de prueba no contienen y está prohibido que utilicen copias de cualquier tipo de datos en producción o históricos que presenten
información sensible/confidencial.
AI3.3 Mantenimiento de la infraestructura
DS2.4 Monitoreo del desempeño de proveedores DS9.1 Repositorio y línea base de
configuración DS9.2 Identificación y mantenimiento de
elementos de la configuración DS11.6 Requisitos de seguridad para la gestión de datos
SD 4.7.5.4 Gestión y desempeño de proveedores y contratos
SD 5.2 Gestión de los datos y la información SO 5.4 Gestión y soporte de servidores
SO 5.5 Gestión de redes SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio
SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware SO 5.11 Gestión Internet/web
SS 8.2 Interfaces del servicio ST 4.1.5.2 Preparación para la transición del
servicio ST 4.3.5.2 Gestión y planificación ST 4.3.5.3 Identificación de la configuración
ST 4.3.5.4 Control de la configuración ST 4.3.5.5 Contabilización y registro de
estados
12.4.2 Protección de los datos de prueba de sistema
AC-3 Ejecución del acceso AC-4 Ejecución del flujo de la información
17. Prevención de pérdida de datos
7.1.4.1 Obtención de las políticas de prueba y estándares.
7.1.4.2 Determinar si las políticas excluyen específicamente el uso de cualquier tipo de datos en producción o históricos
7.1.4.3 Llevar a cabo procedimientos de muestreo para determinar el cumplimiento de la política de prohibición con los datos de prueba
7.2
OBJETIVO: Gestión de la Clave: Las claves de cifrado son protegidas de forma segura contra accesos no autorizados, con una separación de funciones existente entre los gestores de la clave y la organización que las alberga, y las claves son recuperables
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
101
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
7. T
RA
NSM
ISIÓ
N Y
ALM
AC
ENA
MIE
NTO
DE
LA IN
FOR
MA
CIÓ
N(c
on
t)
7.2.1 Repositorios de Clave Seguros: Los repositorios de clave están protegidos durante la transmisión, almacenamiento y copia de seguridad
AI4.4 Transferencia de conocimiento al personal de operaciones y soporte
DS4.9 Almacenamiento externo de respaldos DS5.4 Gestión de cuentas de usuario
DS5.7 Protección de la tecnología de seguridad DS5.8 Gestión de llaves criptográficas
DS9.2 Identificación y mantenimiento de elementos de la configuración
DS9.3 Revisión de integridad de la configuración DS11.2 Acuerdos para el almacenamiento y
la conservación DS11.5 Respaldo y restauración
DS11.6 Requisitos de seguridad para la gestión de datos DS13.1 Procedimientos e instrucciones de
operación
ST 3.2.8 Proveer sistemas para la
transferencia de conocimientos y el soporte de decisiones ST 4.1.5.2 Preparación para la transición del
servicio ST 4.3.5.3 Identificación de la configuración ST 4.3.5.4 Control de la configuración
ST 4.3.5.5 Contabilización y registro de estados
ST 4.3.5.6 Auditoría y verificación ST 4.4.5.5 Planificar y preparar el despliegue
ST 4.7 Gestión del conocimiento SD 4.5.5.2 Etapa 2 — Requisitos y
estrategia SD 5.2 Gestión de los datos y la información SO 3.7 Documentación
SO 4.4.5.11 Errores detectados en el ambiente de desarrollo
SO 4.6.6 Gestión del conocimiento (actividades operativas) SO 4.5 Gestión de accesos
SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación
SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la identidad
SO 4.5.5.5 Registro y seguimiento de accesos
SO 4.5.5.6 Eliminar o restringir privilegios SO 5 Actividades comunes de la operación del servicio
SO 5.2.3 Respaldo y restauración SO 5.4 Gestión y soporte de servidores SO 5.6 Almacenamiento y archivo
SO 7 Consideraciones de tecnología (especialmente para licenciamiento,
indicado en SO) SO Apéndice B Comunicaciones en la operación del servicio
10.5.1 Respaldo de la información 10.7.4 Seguridad de la
documentación de sistemas 11.5.3 Sistema de gestión de contraseñas
12.3.2 Gestión de claves
CP-9 Backup del sistema de información IA-2 Identificación y autenticación de usuarios de la organización
IA-5 Gestión de autenticación MP-4 Medios de almacenamiento
SA-5 Documentación del sistema de información SC-12 Establecimiento de cifrado y gestión de claves SC-17 Infraestructura de cifrado de clave pública
6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 11 Perdidas de las claves de codificación 13 Riesgos de la protección de datos 15 Brechas en la red 16 Gestión de la red 17 Modificación del tráfico de la red 20 Pérdida o robo de las copias de seguridad
22 Robo de equipos informáticos
7.2.1.1 Obtener la comprensión de cómo están protegidos los repositorios de
clave
7.2.1.2 Evaluar los controles de acceso, los controles de transmisión y las
copias de seguridad para asegurarse de que los repositorios de clave están en posesión de los gestores de la clave
7.2.1.3 Identificar brechas de acceso potenciales a los repositorios de claves, e identificar controles para solventarlas
7.2.2
Acceso a los Repositorios de Claves: El acceso a los repositorios de claves está limitado a los gestores de las claves cuyos trabajos están separados del proceso de los repositorios de clave que protegen
DS5.8 Gestión de llaves criptográficas DS5.4 Gestión de cuentas de usuario
SO 4.5 Gestión de accesos SO 4.5.5.1 Peticiones de acceso
SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la
identidad SO 4.5.5.5 Registro y seguimiento de
accesos SO 4.5.5.6 Eliminar o restringir privilegios
11.5.3 Sistema de gestión de contraseñas
12.3.2 Gestión de claves
IA-2 Identificación y autenticación de usuarios de la organización
IA-5 Gestión de autenticación SC-12 Establecimiento de cifrado y gestión de claves
SC-17 Infraestructura de cifrado de clave pública
15. Acceso controlado basado en la necesidad de conocimiento
(need-to-know)
7.2.2.1 Identificar a los gestores de los repositorios de claves
7.2.2.2 Llevar a cabo una separación de funciones de análisis para determinar las transacciones funcionales específicas a las que los gestores de
repositorios de claves tienen acceso.
7.2.2.3 Evaluar si las posiciones de los gestores de repositorios de claves y su acceso a los repositorios de claves crean una vulnerabilidad a la confidencialidad o integridad de los datos
7.2.2.4 Determinar si el proveedor de servicios tiene acceso a las claves y si tiene los procedimientos y la supervisión para asegurar la
confidencialidad de los datos de los clientes.
7.2.2.5 Determinar si hay controles apropiados que protejan a las claves durante la generación y eliminación
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
103
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
7. T
RA
NSM
ISIÓ
N Y
A
LMA
CEN
AM
IEN
TO D
E LA
IN
FOR
MA
CIÓ
N(c
on
t)
7.2.3
Copia de Seguridad de la Clave y Recuperación: La copia de seguridad de la clave y su recuperación han sido establecidas
y probadas para asegurar el acceso continuado a las claves de datos
DS5.4 Gestión de cuentas de usuario
SO 4.5 Gestión de accesos
SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios
SO 4.5.5.4 Monitorear el estado de la identidad
SO 4.5.5.5 Registro y seguimiento de accesos SO 4.5.5.6 Eliminar o restringir privilegios
11.5.3 Sistema de gestión de
contraseñas
IA-2 Identificación y autenticación de usuarios de la organización
IA-5 Gestión de autenticación
8. Capacidad de recuperación de
datos
7.2.3.1 Obtener las políticas de copia de seguridad y las políticas y
procedimientos de recuperación
7.2.3.2 Llevar a cabo una evaluación de riesgos, con las vulnerabilidades
conocidas, para determinar que las copias de seguridad de las claves estarían disponibles y la recuperación asegurada
7.2.3.3 Determinar si existe un proceso de prueba de recuperación y se ejecuta habitualmente
7.2.3.4 Revisión de pruebas recientes de recuperación de claves
8. G
ESTI
ÓN
DE
LAS
IDEN
TID
AD
ES Y
AC
CES
OS
8.1
OBJETIVO: Gestión de Acceso y de Identidad: Los procesos identificativos aseguran que sólo los usuarios autorizados tengan el acceso a los datos y recursos, las actividades del usuario pueden ser auditadas y analizadas, y el cliente tiene control sobre la gestión de acceso.
6 Interceptar datos en la subida o bajada de la información 7 Fugas de información en los movimientos de datos dentro del entorno Cloud 13 Riesgos de la protección de datos 16 Gestión de la red 17 Modificación del tráfico de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación)
8.1.1
Creación de Identidad: La creación/eliminación de usuarios, y los cambios en las condiciones de las aplicaciones basadas en Cloud y de las plataformas de operación se gestionan de manera oportuna y controlada, de acuerdo con las políticas internas de acceso de usuario.
DS5.4 Gestión de cuentas de usuario
SO 4.5 Gestión de accesos SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación
SO 4.5.5.3 Habilitar privilegios SO 4.5.5.4 Monitorear el estado de la
identidad SO 4.5.5.5 Registro y seguimiento de accesos
SO 4.5.5.6 Eliminar o restringir privilegios
11.6.1 Restricción de acceso a la
información
AC-3 Ejecución del acceso AC-6 Mínimo privilegio
AC-14 Acciones permitidas sin identificación o autenticación CM-5 Restricciones de acceso para cambios
8.1.1.1 Obtener las políticas internas de creación, eliminación y modificación
de usuarios.
8.1.1.2 Analizar las políticas en relación con los procedimientos implementados para sistemas Cloud Computing
8.1.2 Autenticación: La responsabilidad de la autenticación de usuarios se queda con el cliente; deberían utilizarse sistemas de inicio de sesión único y autenticación abierta
PO4.6 Establecer roles y responsabilidades PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
DS2.2 Gestión de relaciones con proveedores ME3.1 Identificación de los requisitos
legales, regulatorios y de cumplimiento contractual
ME3.3 Evaluación del cumplimiento con requerimientos externos ME3.4 Aseguramiento positivo del
cumplimiento
SS 2.6 Funciones y procesos a través del ciclo de vida ST 6.3 Modelos organizacionales para
apoyar la transición de servicios SO 6.6 Roles y responsabilidades en la
operación del servicio SD 4.7.5.2 Clasificación de proveedores y mantenimiento de la base de datos de
proveedores y contratos SD 4.7.5.4 Gestión y desempeño de
proveedores y contratos SD 4.2.5.9 Desarrollar contratos y relaciones
SD 4.7.5.5 Renovación y/o término de contratos
SD 6.2 Análisis de actividades SD 6.4 Roles y responsabilidades CSI 6 Organización para la mejora continua
del servicio
15.1.4 Protección de datos y privacidad de la información
personal
PL-5 Evaluación del impacto en la privacidad
SI-12 Manejo y retención de salida de información
16. Monitorización y control de
cuentas
8.1.2.1 Para SaaS y PaaS, determinar si un cliente puede establecer confianza
entre el sistema de autenticación interno y el sistema de Cloud
8.1.2.2 Determinar, donde haya opción, que los procesos de autenticación no propietarios han sido implementados en el proveedor de servicios
8.1.2.3
Si un proceso de autenticación propietario es la única opción, determinar si se han establecido controles adecuados para:
Prevenir IDs de usuario compartidos
Proporcionar una separación adecuada de funciones para evitar que el
personal del proveedor de servicios obtenga las identidades de los clientes
Proporcionar funciones forenses y registro para proveer el historial de actividades
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
105
ÁREA DE CONTROL
CONTROL ID
Auditorías Cloud Computing Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for
Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
8. G
ESTI
ÓN
DE
LAS
IDEN
TID
AD
ES Y
A
CC
ESO
S(co
nt)
8.1.2.4
Para IaaS:
Si entre las instalaciones del proveedor de servicios y del cliente se aplican VPNs dedicadas, determinar si los usuarios se autentican en la red del cliente antes de pasar transacciones por la VPN. Las VPNs
dedicadas se aplican entre las instalaciones del proveedor de servicios y del cliente para autenticar usuarios en la red del cliente antes de
pasar las transacciones a través de la VPN.
Cuando no sea posible disponer de una VPN dedicada, determinar si
los formatos estándar reconocidos de autenticación están en uso (por ejemplo, SAML, WS-Federation) junto con SSL.
8.1.2.5
Para IaaS y despliegues de Cloud privados internos, verificar que las soluciones de control de acceso de terceros operen con eficacia en
entornos virtualizados y de tipo Cloud, y que los datos de eventos se pueden considerar de forma conjunta y correlacionarse de forma eficiente.
9. V
IRTU
ALI
ZAC
IÓN
9.1 OBJETIVO: Virtualización: Los sistemas operativos de virtualización son reforzados para prevenir posibles incidencias de seguridad con entornos de otros clientes
7 Fugas de información en los movimientos de datos dentro del entorno Cloud 13 Riesgos de la protección de datos 15 Brechas en la red
16 Gestión de la red 18 Escalada de privilegios 19 Ataques de ingeniería social (suplantación)
9.1.1
Virtualización: El aislamiento del sistema operativo y los controles de seguridad están implementados por el proveedor de servicios para prevenir accesos no autorizados y ataques
AI1.2 Reporte de análisis de riesgos
AI2.4 Seguridad y disponibilidad de las aplicaciones AI3.3 Mantenimiento de la infraestructura
DS5.7 Protección de la tecnología de seguridad
DS5.10 Seguridad de la red DS5.11 Intercambio de datos sensitivos DS12.3 Acceso físico
PO4.14 Políticas y procedimientos para personal contratado
PO6.2 Riesgo corporativo y marco de referencia del control interno de TI
SD 2.4.2 Alcance
SD 3.6 Aspectos de diseño SD 3.6.1 Diseño de soluciones de servicios
SD 4.5.5.2 Etapa 2 — Requisitos y estrategia SO 4.4.5.11 Errores detectados en el
entorno de desarrollo SO 5.4 Gestión y soporte de servidores
SO 5.5 Gestión de redes SO 5.7 Administración de bases de datos SO 5.8 Gestión de servicios de directorio
SO 5.9 Soporte de estaciones de trabajo SO 5.10 Gestión de middleware
SO 5.11 Gestión Internet/web SO Apéndice E Descripción detallada de la gestión de las instalaciones
SO Apéndice F Controles de acceso físico
9.1.5 Trabajo en áreas seguras
11.6.2 Aislamiento de sistemas sensitivos
AC-3 Ejecución del acceso AC-4 Ejecución del flujo de la información AU-10 No repudio
IA-2 Identificación y autenticación de usuarios de la organización PE-3 Control de acceso físico
PE-4 Control de acceso al medio de transmisión PE-6 Monitorización del acceso físico PE-7 Control de visitantes
PE-8 Registro de accesos PS-7 Seguridad del personal de terceros (subcontratados)
SA-4 Adquisiciones SA-5 Documentación del sistema de información SA-8 Principios de ingeniería de seguridad
SC-2 Particiones de aplicaciones SC-3 Función de aislamiento de seguridad
SC-7 Protección de Fronteras SC-9 Confidencialidad de la trasmisión SC-11 Rutas de confianza
SC-16 Trasmisión de atributos de seguridad SC-23 Arquitectura y suministro de Nombre/Servicio de Resolución de Dirección
SI-4 Monitorización del sistema de información SI-7 Integridad del software y la información
SI-10 Validaciones de entradas de información
3. Configuración segura de
hardware y software en portátiles, estaciones de trabajo y servidores
5. Defensa contra malware 6. Software de seguridad de
aplicación 11. Limitación y control de puertos, protocolos y servicios
12. Uso controlado de los privilegios de administrador
20. Pruebas de penetración y grupos de simulación de ataques
9.1.1.1 Identificar la configuración de la máquina virtual in situ
9.1.1.2
Determinar si han sido implementados controles adicionales, incluyendo los siguientes:
Detección de intrusiones
Prevención de malware
Exploración de vulnerabilidades
Gestión y análisis de base
Validación de la imagen de la máquina virtual antes de la puesta en producción
Impedir saltarse y/o evitar los mecanismos de seguridad mediante la identificación a través de las APIs utilizadas que tienen que ver con la
seguridad
Entornos de producción y de pruebas separados
Gestión de identidad interna en la organización para el acceso administrativo
Informes sobre aislamiento de intrusiones a tiempo
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
107 107
3.1.2.2 AUDITORÍAS DE BYOD (BRING YOUR OWN DEVICE)
Antes de detallar el contenido de cada uno de los controles, a continuación se presenta
de manera gráfica y resumida cada una de las áreas identificadas en el plan de auditoría
BYOD desarrollado. Se han definido 7 áreas asociadas a un total de 26 controles.
BRING YOUR OWN DEVICE
ÁREAS DE CONTROL
GESTIÓN DEL RIESGO
Valoración inicial del riesgo
Revisión del Plan de Riesgos
POLÍTICAS
Políticas de usuarios BYOD
Políticas de uso aceptable
Soporte de Recursos Humanos para BYOD
Proveedores
Excepciones Políticas BYOD
LEGAL
Consideraciones legales en las políticas y procedimientos
Preservación de pruebas legales para litigios
SOPORTE Y ASISTENCIA TÉCNICA AL USUARIO Servicio de ayuda
GOBIERNO
Aprobación de la política BYOD
Monitorizando BYOD
FORMACIÓN
Formación inicial
Formación en seguridad y concienciación
SEGURIDAD DE DISPOSITIVOS MÓVILES
Restricciones de acceso al dispositivo
Acceso a datos
Permiso explícito para borrar datos
Cifrado y protección de datos
Acceso remoto
Protección contra malware
Acceso a la red
GESTIÓN DE DISPOSITIVOS MÓVILES
La gestión de dispositivos móviles (MDM) es desplegada
Gestión Central de dispositivos BYOD
Distribución de software seguro
Monitoreo del Uso de BYOD
Interfaces con otros sistemas
Tabla 10: Áreas de Control BYOD
3.1.2.2.1 PLAN DE AUDITORÍA
El presente plan de auditoría detalla todos aquellos controles para llevar a cabo una
revisión completa de entornos BYOD.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
109
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
2. G
ESTI
ÓN
DEL
RIE
SGO
2.1 OBJETIVO: Valoración del riesgo
Todos los riesgos aplican
2.1.1 Valoración inicial del riesgo PO9.2 Establecimiento del contexto del riesgo
SS 9.5 Riesgos SD 4.5.5.1 Etapa 1 - Inicio
SD 4.5.5.2 Etapa 2 - Requisitos y Estrategia
14.1.1 Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio
14.1.2 Continuidad del negocio y evaluación de riesgos
RA-1 - RA-5 PM-9 Estrategia de gestión de riesgos
2.1.1.1 Determinar si se ha llevado a cabo un plan de valoración del riesgo asociado a BYOD.
2.1.1.2 Obtener y revisar la documentación de valoración de riesgos (si existe) y determinar si el nivel de control establecido es adecuado para
implementar BYOD.
2.1.1.3 Solicitar actas de reuniones u otra documentación que refleje la
aprobación del plan de riesgos.
2.1.2 Revisión del plan de riesgos PO9.4 Evaluación de riesgos de TI
SS 9.5 Riesgos SD 4.5.5.2 Etapa 2 - Requisitos y Estrategia SD 8.1 Análisis de impacto en el negocio
ST 4.6 Evaluación
5.1.2 Revisión de la política de seguridad de la información 14.1.2 Continuidad del negocio y
evaluación de riesgos
RA-1 - RA-5 PM-9 Estrategia de gestión de riesgos
2.1.2.1 Determinar si se han llevado a cabo valoraciones de riesgos posteriores
a la valoración inicial.
2.1.2.2 Obtener y revisar la documentación asociada al plan de riesgos (si existe) para determinar si el alcance establecido es adecuado para soportar los cambios que BOYD supone y protege de forma apropiada a
la compañía.
3. P
OLÍ
TIC
AS
3.1 OBJETIVO: Comprobar el desarrollo de Políticas
Todos los riesgos aplican
3.1.1 Políticas de usuarios BOYD PO6.3 Gestión de políticas de TI
PO7.4 Entrenamiento del personal de TI SD 6.3 Habilidades y atributos
5.1.1 Documento de la política de seguridad de la información 5.1.2 Revisión de la política de
seguridad de la información 6.1.1 Compromiso de la dirección
con la seguridad de la información 8.1.1 Roles y responsabilidades 8.2.2 Educación, entretenimiento
y concienciación en seguridad de la información
AC-1 Políticas y procedimientos de control de acceso AT-1 - AT-5
CM-1 Políticas y procedimientos para gestión de configuraciones IA-1 Políticas y procedimientos para identificación y
autenticación MP-1 Políticas y procedimientos de protección de medios PE-1 Políticas y procedimientos para la protección física y del
entorno PS-8 Sanciones al personal
SC-1 Políticas y procedimientos para la protección de sistemas y comunicaciones SI-1 Políticas y procedimientos para la integridad de sistemas
e información PL-1 Políticas y procedimientos del plan de seguridad
MA-1 Mantenimiento de las políticas y procedimientos del sistema
12 Uso Controlado de privilegios
administrativos
3.1.1.1 Verificar que las políticas BOYD se encuentran firmadas antes de activar los dispositivos y conectarlos a la red empresarial.
3.1.1.2 Verificar que las políticas son revisadas y firmadas anualmente por los empleados.
3.1.1.3 Verificar que los empleados vuelven a firmar las políticas BYOD si un nuevo dispositivo es incluido en la misma.
3.1.1.4
Verificar que el acuerdo BYOD incluye los siguientes puntos:
La empresa no se hace responsable de los dispositivos de los empleados
El empleado debe comunicar lo más pronto posible la pérdida o robo dentro de un periodo de tiempo definido.
Si el empleado recibe una contribución económica para la adquisición del dispositivo, los términos y responsabilidades económicas están claramente definidos en las políticas o acuerdos establecidos y
firmados.
El empleado hará un uso razonable y cuidadoso del dispositivo.
El empleado no revelará a terceros no autorizados información de la
empresa almacenada o accesible a través del dispositivo BYOD.
El empleado se suscribirá y aceptará a las políticas de uso de la
empresa.
El empleado se suscribirá y aceptará las políticas de seguridad de la información.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
111
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
3. P
OLÍ
TIC
AS(
con
t)
3.1.1.4 (cont)
El empleado se someterá a las actualizaciones descritas en la política
BYOD cuando es publicada.
Todos los riesgos aplican
El empleado mantendrá el dispositivo BYOD y se hará cargo de las
reparaciones en un tiempo razonable.
3.1.1.5
Revisar el acuerdo BYOD para comprobar que el empleado acepta, sujeto a las políticas de empresa, el derecho de la empresa a:
Eliminar o limpiar toda la información y aplicaciones en caso de pérdida o robo del dispositivo.
Establecer reglas de fortificación de contraseñas Monitorizar intentos de desbloqueo
Borrar o bloquear el dispositivo en caso de sucesivos intentos de
desbloqueo fallidos
Controlar cuando y como se bloquea la pantalla
Requerir el cifrado de la información almacenada
Controlar el uso de la cámara
Cifrar los datos de usuario en dispositivos extraíbles tales como tarjetas
SD o USB.
Controlar la sincronización manual o automática en la itineraria
(“roaming”)
Permitir a los administradores activar/desactivar la red Wi-Fi.
Permitir a los administradores activar/desactivar el navegador.
Permitir a los administradores activar/desactivar la mensajería de texto.
Limitar las aplicaciones instaladas en el dispositivo.
Instalar actualizaciones anti-malware
Poner en cuarentena dispositivos en caso de infecciones o incumplimiento de las políticas establecidas.
Eliminar aplicaciones inapropiadas.
Auditar el dispositivo.
3.1.1.6 Determinar la fecha de la última revisión del acuerdo BYOD
3.1.1.7 Obtener una muestra de empleados con dispositivos BYOD conectados a la red de la empresa. Incluir en el muestreo diferentes perfiles de empleados.
3.1.1.7.1 Obtener sus acuerdos BYOD y determinar:
3.1.1.7.1.1 Están actualizados en base a la última versión de la política de
empleados
3.1.1.7.1.2 Incluyen firma y fecha
3.1.2 Política de uso aceptable PO6.3 Gestión de políticas de TI
DS5.1 Gestión de la seguridad de TI
SD 4.6 Gestión de seguridad de la información
SO 5.13 Gestión de la seguridad de la información y la operación del servicio
5.1.1 Documento de la política de seguridad de la información
5.1.2 Revisión de la política de seguridad de la información
6.1.1 Compromiso de la dirección con la seguridad de la información 6.1.2 Coordinación para la
seguridad de la información 6.2.3 Considerar la seguridad en
los acuerdos con terceros 8.1.1 Roles y responsabilidades 8.2.2 Educación, formación y
concienciación en seguridad de la información
AT-1 - AT-5 MA-1 Mantenimiento de las políticas y procedimientos del
sistema
3.1.2.1 Comprobar y verificar que la política se encuentra alineada con la política de seguridad de red de la organización.
3.2.2.2 Comprobar que los empleados con dispositivos BYOD han firmado la política.
3.1.2.3 Determinar la fecha de la última revisión de la política.
3.1.2.4 Obtener una muestra de empleados con dispositivos BYOD conectados
a la red de la empresa. Incluir en el muestreo diferentes perfiles de empleados.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
113
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
3. P
OLÍ
TIC
AS(
con
t)
3.1.2.4.1
Obtener los acuerdos de los empleados y determinar que cada acuerdo
esta:
Todos los riesgos aplican
Actualizado con la última versión de la política de uso aceptable.
Incluyen fecha y firma
3.1.3 Soporte de Recursos Humanos para BYOD PO6.3 Gestión de políticas de TI
5.1.1 Documento de la política de seguridad de la información
5.1.2 Revisión de la política de seguridad de la información 6.1.1 Compromiso de la dirección
con la seguridad de la información 8.1.1 Roles y responsabilidades
3.1.3.1 Determinar si entre las funciones de Recursos Humanos se encuentra la firma inicial y anual de las políticas de empleados y uso aceptable de los
dispositivos BYOD.
3.1.3.2 Tomar una muestra de nuevos empleados incluidos en el programa BYOD. Evaluar si estos empleados han firmado los documentos
apropiados.
3.1.3.3 Determinar si recursos humanos tiene una lista de usuarios BYOD, para asegurar que en caso de fin contractual, el procedimiento incluye a los dispositivos BYOD.
3.1.3.3.1 Obtener una lista de empleados BYOD. Para la muestra tomada,
determinar si todos los usuarios son actualmente empleados.
3.1.3.3.2 Obtener una lista de empleados que recientemente han abandonado la empresa y verificar que esos empleados no están en la lista de
empleados BYOD.
3.1.3.4 Determinar cómo Recursos Humanos consigue gestionar empleados BYOD entre las diferentes áreas o secciones (gestión de perfiles).
Preparar los tests adecuados para satisfacer el objetivo descrito.
3.1.3.5 Obtener una copia del código de conducta de la empresa y determinar si existe un apartado que específicamente expresa que una violación de la política de BYOD se considera una violación del código de conducta y
están descritas las sanciones oportunas.
3.1.3.6
Determinar si las políticas disciplinarias y los procesos asociados contemplan las violaciones de la política de empleados y uso aceptable
BYOD. Se deben incluir:
Penalizaciones por infracciones.
Aplicación uniforme de la política de penalizaciones.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
115
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
3. P
OLÍ
TIC
AS(
con
t)
3.1.4 Proveedores DS5.3 Gestión de identidad
DS5.4 Gestión de cuentas de usuario SO 4.5 Gestión de acceso
5.1.1 Documento de la política de
seguridad de la información 5.1.2 Revisión de la política de seguridad de la información
6.1.2 Coordinación para la seguridad de la información
6.1.5 Acuerdos de confidencialidad 6.2.1 identificación de riesgos relacionados con terceros
6.2.2 Considerar la seguridad al tratar con los clientes
8.1.1 Roles y responsabilidades 8.3.1 Responsabilidades en el cese 8.2.2 Educación, entretenimiento
y concienciación en seguridad de la información
8.3.3 Eliminación de privilegios de acceso 10.1.3 Segregación de funciones
11.1.1 Políticas de control de acceso
11.2.1 Registro de usuarios 11.2.2 Gestión de privilegios 11.2.4 Revisión de derechos de
acceso de usuarios 11.3.1 Uso de contraseñas
11.5.1 Procedimientos seguros de inicio de sesión 11.5.3 Sistema de gestión de
contraseñas 11.6.1 Restricción de acceso a la información
11.7.1 Computación móvil y de las comunicaciones
11.7.2 Teletrabajo
Todos los riesgos aplican
3.1.4.1 Determinar las políticas oportunas que definan el uso adecuado de los recursos de la empresa por los proveedores, protegiendo los activos de la compañía y la propiedad intelectual de accesos no autorizados por
proveedores o terceras partes.
3.1.4.2 Evaluar la efectividad de los controles BYOD sobre proveedores.
3.1.4.3 Evaluar la política de empleados BYOD y determinar si son necesarios controles adicionales, políticas o procedimientos para proteger los activos de la organización.
3.2 Excepciones de las políticas BYOD
3.2.1 Las excepciones de las políticas BYOD son aplicadas de acuerdo con los procedimientos de las políticas de excepciones.
PO6.4 Implantación de políticas, estándares
y procedimientos
6.1.1 Compromiso de la dirección con la seguridad de la información 6.1.8 Revisión independiente de la
seguridad de la información 6.2.3 Considerar la seguridad en
los acuerdos con terceros 8.2.2 Educación, formación y concienciación en seguridad de la
información
3.2.1.1 Si la empresa permite excepciones a las políticas BYOD, obtener una lista de las excepciones definidas y una copia de los procedimientos
empresariales para excepciones de políticas.
3.2.1.2 Determinar si todas las excepciones fueron autorizadas en cumplimiento con el procedimiento de excepciones para políticas empresariales.
3.2.1.3 Evaluar si las excepciones son concedidas solo para un determinado periodo de tiempo, máximo un año.
3.2.1.4 Determinar si las excepciones BYOD son regularmente revisadas para continuar con su aplicabilidad.
3.2.1.5 Determinar si en los casos en los que un empleado necesita una
prórroga de tiempo en la aplicación de la excepción, la petición es debidamente registrada y aprobada.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
117
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
4. L
EGA
L
4.1 OBJETIVO: El objetivo es comprobar que los procedimientos BYOD cumplen con los requerimientos legales y minimizan la exposición de la empresa ante problemas legales.
1 Desprestigio de imagen de la organización 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos
4.1.1
Consideraciones legales en las políticas y procedimientos legales: El área legal ha revisado y documentado la aprobación de las políticas y los procedimientos BYOD en referencia a las consideraciones legales.
ME3 Garantizar el cumplimiento de
requisitos externos
6.1.6 Relación con las autoridades que tengan impacto potencial en TI
15.1.1 Identificación de legislación aplicable
15.1.2 Derechos de propiedad intelectual 15.1.4 Protección de datos y
privacidad de la información personal
PS-6 Acuerdos de acceso PS-8 Sanciones al personal PL-4 Reglas de comportamiento
4.1.1.1
Determinar si el área legal ha revisado y aprobado las consideraciones legales de las políticas y procedimientos BYOD. Se debe considerar:
Separación de la información de negocio e información personal.
Propiedad intelectual.
4.1.1.2 Obtener evidencias de las revisiones y aprobaciones del área legal.
4.1.2
Preservación de pruebas legales para litigios: El ámbito de las políticas y procedimientos para la preservación de pruebas legales alcanza tanto a los empleados BYOD como a sus dispositivos.
PO6.4 Implantación de políticas, estándares y procedimientos
6.1.1 Compromiso de la dirección con la seguridad de la información
6.1.8 Revisión independiente de la seguridad de la información 6.2.3 Considerar la seguridad en
los acuerdos con terceros 8.2.2 Educación, formación y
concienciación en seguridad de la información
PS-8 Sanciones al personal
4.1.2.1 Determinar si el acuerdo BYOD de la compañía contempla la preservación de pruebas legales en referencia a la información almacenada en los dispositivos BYOD.
4.1.2.2 Evaluar si el dueño del dispositivo BYOD ha aceptado formalmente que
todos sus dispositivos están sujetos a la política legal de la empresa.
5. S
OP
OR
TE Y
AS-
ISTE
NC
IA T
ÉCN
ICA
AL
USU
AR
IO
5.1 OBJETIVO: Se ha establecido un servicio de ayuda o similar para resolver problemas técnicos y de usuario.
2 Aumento en la complejidad de los dispositivos,
sistemas, aplicaciones y tecnologías 9 Diversidad de software de consumo
5.1.1 Servicio de ayuda: El servicio de ayuda contempla BYOD DS8 Gestionar la mesa de servicios y los incidentes
SO 4.1 Gestión de eventos SO 4.2 Gestión de incidentes
SO 6.2 Mesa de servicios SO 4.1.5.3 Detección de eventos
SO 4.1.5.4 Filtrado de eventos SO 4.1.5.5 Significado de los eventos SO 4.1.5.6 Correlación de eventos
SO 4.1.5.7 Trigger SO 4.1.5.8 Selección de respuestas
SO 4.1.5.9 Revisar acciones SO 4.1.5.10 Cerrar eventos SO 4.2.5.1 Identificación de incidentes
SO 4.2.5.2 Log de incidentes SO 4.2.5.3 Clasificación de los incidentes SO 4.2.5.4 Priorización de incidentes
SO 4.2.5.5 Diagnóstico inicial SO 4.2.5.6 Escalamiento de incidentes
SO 4.2.5.8 Resolución y recuperación SO 4.2.5.9 Cierre de incidentes SO 4.3.5.1 Selección por menú
SO 5.9 Soporte de estaciones de trabajo CSI 4.3 Mediciones del servicio
13.1.1 Reporte de eventos de
seguridad de la información 13.1.2 Se pueden agregar los
reportes de debilidades de seguridad ya que se relacionan con la identificación de eventos
13.2.1 Responsabilidades y procedimientos
13.2.2 Aprendiendo de los incidentes de seguridad de la información
13.2.3 Recolección de evidencia 14.1.1 Incluir la seguridad de la
información en el proceso de gestión de continuidad del negocio 14.1.4 Marco de planeamiento de
continuidad del negocio
5.1.1.1 Obtener y revisar peticiones al servicio de ayuda relacionadas con BYOD
y determinar si la completitud, puntualidad y supervisión de las peticiones en la adecuada.
5.1.1.2
Obtener una muestra de peticiones BYOD del servicio de soporte y determinar si:
Las peticiones BYOD han sido resultas siguiendo los Acuerdos de Nivel de Servicio definidos (ANS).
En su resolución, se contemplan cuestiones de seguridad y son correctamente transferidas/escaladas al área correspondiente.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
119
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
6. G
OB
IER
NO
6.1 OBJETIVO: BYOD está sujeta a la supervisión y el control de la dirección.
2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos
6.1.1 Aprobación de la política BYOD: La política BYOD ha sido aprobada por la dirección.
ME4 Proporcionar gobierno de TI
CSI 3.10 Gobierno CSI Apéndice A Guía complementaria SD 3.10 Gestión del servicio al negocio
SD 3.6.5 Diseño de sistemas de medición y métricas
SS 3.1 Creación de valor CSI 4.3 Mediciones del servicio SS 4.4 Preparar la ejecución
SS 9.4 Efectividad en mediciones SS 9.5 Riesgos
5.1.2 Revisión de la política de
seguridad de la información 6.1.8 Revisión independiente de la
seguridad de la información 10.10.2 Monitoreo del uso del sistema
AU-1 Políticas y procedimientos de auditoría y contabilidad AU-6 Revisión, análisis y reportes de auditorias
AU-7 Reducción de auditoría y generación de informes AU-10 No repudiación
6.1.1.1 Determinar si en el proceso de aprobación de la política BYOD han sido incluidas las unidades de negocio.
6.1.1.2 Obtener actas de reuniones y otra documentación asociada para evaluar el proceso de aprobación.
6.1.2 Monitorizando BYOD: La dirección ejecutiva recibe regularmente informes de situación sobre el uso de BYOD y su adhesión a las políticas.
ME1.5 Reportes al Consejo Directivos y a ejecutivos ME4 Proporcionar gobierno de TI
CSI 4.1f Paso Seis - Presentar y utilizar la
información CSI 4.1g Paso Siete - Implementar acciones correctivas
(Ver apartado 6.1.1)
(Ver apartado 6.1.1)
AU-6 Revisión, análisis y reportes de auditorias
AU-7 Generación de informes AU-8 Time Stamps AU-12 Monitorización de información
SI-4 Monitorización del sistema de información
4 Evaluación continua de las vulnerabilidades 17 Prevención de pérdida de datos
6.1.2.1 Obtener informes de estado BYOD de la dirección ejecutiva.
6.1.2.2 Determinar la periodicidad con la que la dirección recibe los informes.
6.1.2.3
Evaluar los contenidos de los informes de estado:
Indicadores establecidos durante la implementación.
Pérdida de dispositivos BYOD con información sensible.
Estimaciones de ahorro con BYOD.
7. F
OR
MA
CIÓ
N
7.1 OBJETIVO: Los usuarios de los dispositivos BYOD reciben una formación inicial y continua.
Todas los riesgos aplican
7.1.1
Formación inicial: Los usuarios de los dispositivos BYOD son requeridos para recibir una formación inicial sobre la política BYOD, la política de uso aceptable y los procedimientos relacionados.
PO7.4 Entrenamiento del personal de TI SD 6.3 Habilidades y atributos
8.2.2 Educación, formación y
concienciación en seguridad de la información
AT-1 - AT-5
9 Evaluación de Habilidades de
seguridad y formación adecuadas para satisfacer las deficiencias
7.1.1.1 Obtener el material usado en la formación inicial.
7.1.1.2 Evaluar la completitud del programa de formación. Asegurar que abarca todos los elementos identificados en la sección de políticas del presente plan de auditoría.
7.1.1.3 Analizar los registros de actividad y la documentación de asistencia a los
cursos formativos para evaluar si todos los usuarios han recibido la formación y/o están en proceso de hacerlo.
7.1.1.4 Seleccionar una muestra de diferentes tipos de usuarios BYOD.
7.1.2 Formación en seguridad y concienciación: Se realizan cursos de concienciación y formación periódica, al menos anualmente.
PO7.4 Entrenamiento del personal de TI SD 6.3 Habilidades y atributos 8.2.2 Educación, formación y concienciación en seguridad de la
información
AT-1 - AT-5 9 Evaluación de Habilidades de seguridad y formación adecuadas para
satisfacer las deficiencias
7.1.2.1 Obtener el programa de concienciación en materia de seguridad.
7.1.2.2 Evaluar si los contenidos del programa están alineados con las políticas
BYOD y de seguridad
7.1.2.3 Evaluar los requisitos de asistencia a los programas de formación.
7.1.2.4 Seleccionar una muestra de usuarios BYOD y revisar la frecuencia con la
que reciben la formación.
7.1.2.5 Determinar el porcentaje de usuarios BYOD que han recibido la formación.
7.1.2.6 Evaluar la efectividad de la formación.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
121
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
8. S
EGU
RID
AD
DE
DIS
PO
SITI
VO
S M
ÓV
ILES
8.1 OBJETIVO: Es necesario que los usuarios BYOD mantengan los procedimientos básicos de seguridad para el dispositivo.
1 Desprestigio de imagen de la organización 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 6 Cumplimiento la Ley Orgánica
de Protección de Datos 8 Pérdida de datos corporativos 11 Aumento del alcance de los vectores de ataque
8.1.1 Restricciones de acceso al dispositivo. Los usuarios BYOD están obligados a restringir el acceso a sus dispositivos.
DS5.4 Gestión de cuentas de usuario
SO 4.5 Gestión de acceso SO 4.5.5.1 Peticiones de acceso
SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios
SO 4.5.5.4 Monitorear el estado de la identidad SO 4.5.5.5 Registro y seguimiento de accesos
SO 4.5.5.6 Eliminar o restringir privilegios
6.1.5 Acuerdos de confidencialidad 6.2.1 Identificación de riesgos relacionados con terceros
6.2.2 Considerar la seguridad al tratar con los clientes 8.1.1 Roles y
responsabilidades 8.3.1 Responsabilidades en el cese 8.3.3 Eliminación de privilegios de
acceso 10.1.3 Segregación de funciones
11.1.1 Políticas de control de acceso 11.2.1 Registro de usuarios
11.2.2 Gestión de privilegios 11.2.4 Revisión de derechos de
acceso de usuarios 11.3.1 Uso de contraseñas 11.5.1 Procedimientos seguros de
inicio de sesión 11.5.3 Sistema de gestión de
contraseñas 11.6.1 Restricción de acceso a la información
AC-1 Políticas y procedimientos de control de acceso AC-19 Control de acceso para dispositivos móviles CM-5 Restricciones de acceso para cambios
3 Configuración segura de hardware y
software en laptops, estaciones de trabajo y servidores
7 Control del dispositivo wireless 12 Uso controlado de los permisos de administración
15 Acceso controlado basado en necesidades
16 Monitorización y control de accesos
8.1.1.1
Verificar que los usuarios BYOD necesiten establecer una contraseña para abrir el dispositivo. Dependiendo de las capacidades del
dispositivo, esta deberá ser: • Un PIN numérico de 4 dígitos como mínimo, o
• Una contraseña alfanumérica fuerte de conformidad con las políticas de contraseñas de la organización, mientras que esto sea posible en el dispositivo
8.1.1.2 Verificar que los usuarios con acceso a los datos altamente sensibles
tienen un segundo factor de autenticación, además del PIN / contraseña, por ejemplo, el uso de la cámara del dispositivo para el reconocimiento facial o escáner de retina.
8.1.1.3 Verificar si el PIN o la contraseña se vence de manera programada, al menos cada 90 días.
8.1.1.4 Verifique que el dispositivo se bloquea automáticamente después de
cinco minutos de inactividad.
8.1.1.5
Verificar que el dispositivo se bloqueará después de tres intentos de
PIN / password fallidos y no permitirá realizar más intentos durante una fracción de tiempo. (Por ejemplo, 30 segundos de retardo después de la primera serie de tres intentos fallidos, 90 segundos después de la
segunda serie, tres minutos, y así sucesivamente para proteger al dispositivo contra ataques de fuerza bruta de PIN de acceso /
password).
8.1.2 Acceso a datos. El acceso a los datos debe estar alineado con la clasificación de datos de la organización y la función laboral de los empleados.
PO2.4 Gestión de integridad Gestión de
integridad DS5.4 Gestión de cuentas de usuario
SD 5.2 Gestión de los datos y la información
ST 4.7 Gestión del conocimiento SO 4.5 Gestión de acceso
SO 4.5.5.1 Peticiones de acceso SO 4.5.5.2 Verificación SO 4.5.5.3 Habilitar privilegios
SO 4.5.5.4 Monitorear el estado de la identidad
SO 4.5.5.5 Registro y seguimiento de accesos SO 4.5.5.6 Eliminar o restringir privilegios
6.1.5 Acuerdos de confidencialidad
6.2.1 Identificación de riesgos relacionados con terceros
6.2.2 Considerar la seguridad al tratar con los clientes 8.1.1 Roles y responsabilidades
8.3.1 Responsabilidades en el cese 8.3.3 Eliminación de privilegios de acceso
10.1.3 Segregación de funciones 11.1.1 Políticas de control de
acceso 11.2.1 Registro de usuarios 11.2.2 Gestión de privilegios
11.2.4 Revisión de derechos de acceso de usuarios
11.3.1 Uso de contraseñas 11.5.1 Procedimientos seguros de inicio de sesión
11.5.3 Sistema de gestión de contraseñas
11.6.1 Restricción de acceso a la información
AC-1 Políticas y procedimientos de control de acceso AC-5 Separación de funciones
AC-6 Mínimo privilegio AC-11 Bloqueo de sesión AC-12 Finalización de sesión
AC-16 Atributos/propiedades de seguridad PE-19 fuga de información
SI-7 Integridad del software y la información
3 Configuración segura de hardware y software en laptops, estaciones de
trabajo y servidores 15 Acceso controlado basado en necesidades
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
123
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
8. S
EGU
RID
AD
DE
DIS
PO
SITI
VO
S M
ÓV
ILES
(co
nt)
8.1.2.1 Verificar si los datos disponibles para los usuarios BYOD se encuentran
alineados con la clasificación de los datos dentro de la organización.
1 Desprestigio de imagen de la organización 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados
6 Cumplimiento la Ley Orgánica de Protección de Datos 8 Pérdida de datos corporativos 11 Aumento del alcance de los vectores de ataque
8.1.2.1.1 Seleccionar una muestra de la población de usuarios BYOD. Verificar a que datos pueden acceder sus dispositivos y evaluar si están dentro de
los privilegios que deben tener.
8.1.3
Permiso explícito para borrar datos Los usuarios BYOD deben comprometerse por escrito a los procedimientos de seguridad para proteger o borrar datos y aplicaciones de la organización en el caso de que el dispositivo ya no esté a disposición para la organización.
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
PO6.3 Gestión de políticas de TI DS5
SD 6.4 Roles y responsabilidades
SO 4.5 Gestión de acceso SD 4.6 Gestión de seguridad de la información
SO 5.13 Gestión de seguridad de la información y la operación del servicio
SO 5.4 Gestión y soporte de servidores SO 5.5 Gestión de redes
5 Política de seguridad de la información 6 Organización de la seguridad de
la información 8. Seguridad de los recursos
humanos 9. Seguridad física y del entorno 10 Comunicaciones y dirección de
operaciones 11 Control de acceso
12.Adquisición, desarrollo y mantenimiento de los sistemas de la información
13 Dirección de incidentes de seguridad 15 Cumplimiento normativo
AC-1 Políticas y procedimientos de control de acceso AC-21 Intercambio y compartición de información PE-19 fuga de información
3 Configuración segura de hardware y software en laptops, estaciones de
trabajo y servidores 17 Prevención de pérdida de datos
8.1.3.1 Evaluar que los usuarios BYOD acuerdan por escrito el informar la pérdida de su dispositivo(s) en el marco de tiempo especificado en la política / procedimiento.
8.1.3.2 Evaluar que los usuarios BYOD acuerdan por escrito que los datos
empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente si el dispositivo se pierde, es robado o en caso de
despido.
8.1.3.3 Evaluar que los usuarios BYOD acuerdan por escrito que los datos empresariales y aplicaciones en el dispositivo se pueden limpiar remotamente después de un determinado número de intentos de
acceso fallidos.
8.1.4
Cifrado y protección de datos El cifrado se implementa para proteger la confidencialidad e integridad de los datos sensibles almacenados en los dispositivos durante su trasmisión.
DS5.1 Gestión de la seguridad de TI1
DS11.6 Requisitos de seguridad para la gestión de datos
SD 5.2 Gestión de los datos y la información
6.2.1 Identificación de riesgos relacionados con terceros
10.5.1 Respaldo de la información 10.6.1 Controles de red 10.6.2 Seguridad de los servicios
de red 10.7.3 Procedimientos para el
manejo de la información 10.8.3 Medios de almacenamiento físico en tránsito
10.8.4 Mensajería electrónica 11.4.1 Política de uso de los
servicios de red 11.4.2 Autenticación de usuarios para conexiones externas
11.4.3 Identificación de equipos en redes
11.4.4 Protección de puertos de configuración y diagnóstico remoto
11.4.5 Segregación en redes 11.4.6 Control de conexiones en la
red 11.4.7 Control de enrutamiento en la red
11.6.2 Aislamiento de sistemas sensitivos 12.4.2 Protección de datos de
prueba de sistema 12.4.3 Control de acceso al código
fuente de los programas
IA-7 Modulo criptográfico de autenticación SC-12 Establecimiento y gestión de la clave criptográfica SC-13 Uso de criptografía
SI-7 Integridad del software y la información
3 Configuración segura de hardware y
software en laptops, estaciones de trabajo y servidores
8.1.4.1
Determinar que: • Se requiere cifrado de disco completo en todos los dispositivos BYOD
con acceso a los datos sensibles. • Sólo se permiten los algoritmos de cifrado estándar, es decir, AES o Triple-DES (3DES.)
• Longitud de las claves de cifrado debe ser de al menos 128 bits para AES y 168 bits (3 x 56) para 3DES.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
125
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
8. S
EGU
RID
AD
DE
DIS
PO
SITI
VO
S M
ÓV
ILES
(co
nt)
8.1.5 Acceso remoto Las conexiones de acceso remoto a los dispositivos BYOD deben de estar restringidas.
DS5.1 Gestión de la seguridad de TI0 SO 5.5 Gestión de redes
6.2.1 Identificación de riesgos
relacionados con terceros 10.6.1 Controles de red 10.6.2 Seguridad de los servicios
de red 11.4.1 Política de uso de los
servicios de red 11.4.2 Autenticación de usuarios para conexiones externas
11.4.3 Identificación de equipos en redes
11.4.4 Protección de puertos de configuración y diagnóstico remoto
11.4.5 Segregación en redes 11.4.6 Control de conexiones en la
red 11.4.7 Control de enrutamiento en la red
11.6.2 Aislamiento de sistemas sensibles
AC-1 Políticas y procedimientos de control de acceso
AC-17 Acceso Remoto CM-1 Políticas y procedimientos para gestión de
configuraciones SC-23 Autenticación de sesión
3 Configuración segura de hardware y
software en laptops, estaciones de trabajo y servidores
10 Configuración segura para dispositivos de red (firewalls, switches, routers)
11 Controles y limitaciones de los puertos de red, protocolos y servicios
1 Desprestigio de imagen de la organización 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 6 Cumplimiento la Ley Orgánica de Protección de Datos 8 Pérdida de datos corporativos 11 Aumento del alcance de los vectores de ataque
8.1.5.1 Verificar que la configuración de Bluetooth en los dispositivos BYOD está definida para no ser visible, con el fin de evitar intentos no
autorizados de vinculación.
8.1.5.2 Verificar que los dispositivos móviles BYOD sólo se conectan con los
dispositivos previamente asociados, tales como auriculares u otros dispositivos móviles.
8.1.5.3 Verificar que los dispositivos BYOD pueden conectarse a las redes de la empresa sólo a través de redes privadas virtuales (VPN) específicas y
que utilizan cifrado de alta seguridad, es decir, ya sea de Secure Sockets Layer (SSL) o túneles VPN de seguridad IP (IPSec).
8.1.5.4 Verificar que los dispositivos BYOD sólo pueden conectarse a la red Wi-Fi de la empresa a través de redes privadas virtuales específicas o
túneles IPSec con cifrado de alta seguridad.
8.1.5.5
Verificar la concienciación de usuarios en materia de redes Wifi y
recomendar siempre utilizar una conexión cifrada basada en Wi-Fi Protected Access (WPA2) o mejor, es decir, no utilizar conexiones Wi-Fi sin protección o utilizar conexiones que implementen una protección
inferior como Wired Equivalent Privacy (WEP).
8.1.6 Protección contra malware Los dispositivos móviles BYOD deben protegerse contra el malware.
DS5.9 Prevención, detección y corrección de software malicioso
10.4.1 Controles contra código malicioso
SI-3 Protección de código malicioso
5 Defensa contra malware 4 Evaluación continua de las vulnerabilidades
6 Seguridad de software de aplicación 20 Test de penetración
8.1.6.1 Determinar que software antivirus es necesario en cualquier dispositivo con acceso a las redes de la organización o a los datos
sensibles.
8.1.6.2 Verificar que un firewall se encuentra instalado y está en
funcionamiento en todo momento en todos los dispositivos móviles BYOD.
8.2 OBJETIVO: Sólo usuarios autenticados BYOD pueden conectarse a las redes de la empresa.
8.2.1 Acceso a la redLos usuarios BYOD están sujetos, además, a los mismos controles de acceso que el resto de usuarios.
DS5.3 Gestión de identidad DS5.4 Gestión de cuentas de usuario DS5.1 Gestión de la seguridad de TI0
SO 4.5 Gestión de acceso
SO 5.5 Gestión de redes
5.Política de seguridad de la
información 6. Organización de la seguridad de
la información 8. Seguridad de los recursos humanos
10 Comunicaciones y dirección de operaciones
11 Control de acceso
AC-1 Políticas y procedimientos de control de acceso
CM-5 Restricciones de acceso para cambios CM-7 funcionabilidad mínima IA-1 Políticas y procedimientos para identificación y
autenticación IA-2 Identificación y autenticación de usuarios
IA-3 Identificación y autenticación del dispositivo IA-4 gestión de identificación IA-5 gestión de autenticación
IA-7 Modulo criptográfico de autenticación AC-19 Control de acceso para dispositivos móviles
SI-7 Integridad del software y la información
3 Configuración segura de hardware y
software en laptops, estaciones de trabajo y servidores
7 Control de dispositivos Wireless 12 Uso controlado de los permisos de administración
15 Acceso controlado basado en necesidades
16 Monitorización y control de accesos
8.2.1.1 Determinar la obligatoriedad de encriptado SSL / TLS o del túnel VPN
para conectarse a cualquiera de las redes de la empresa.
8.2.1.2 Verificar que las conexiones de BYOD se validan con el gestor de
identidades de la empresa, por ejemplo Active Directory, y solo a los usuarios autenticados se les permite el acceso.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
127
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
8. SEGURIDAD
DE DISPOSITIVOS MÓVILES(cont)
8.2.1.3 Verificar que un segundo factor de autenticación se lleva a cabo para la conexión de dispositivos BYOD a aplicaciones y datos altamente
sensibles.
9. G
ESTI
ÓN
DE
DIS
PO
SITI
VO
S M
ÓV
ILES
(MO
BIL
E D
EVIC
E M
AN
AG
EMEN
T)
9.1 OBJETIVO: La empresa debe utilizar una herramienta automatizada (Mobile Device Management) para administrar todos los dispositivos móviles BYOD.
2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red
corporativa 11 Aumento del alcance de los vectores de ataque
9.1.1
La gestión de dispositivos móviles (MDM) es desplegada Una herramienta estándar de la industria de software MDM se despliega para administrar todos los dispositivos móviles, incluidos los dispositivos propiedad de los empleados (BYOD).
DS5.5 Pruebas, vigilancia y monitoreo de la
seguridad DS9.2 Identificación y mantenimiento de
elementos de la configuración
SO 4.5.5.6 Eliminar o restringir privilegios SO 5.13 Gestión de seguridad de la
información y la operación del servicio ST 4.1.5.2 Preparación para la transición del servicio
ST 4.3.5.3 Identificación de la configuración ST 4.3.5.4 Control de la configuración
ST 4.3.5.5 Contabilización y registro de estados
6.1.8 Revisión independiente de la seguridad de la información 7.1.1 Inventario de activos
7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manejo de la
información 10.7.4 Seguridad de la documentación de sistemas
10.10.2 Monitoreo del uso del sistema
10.10.3 Protección de logs 10.10.4 Logs de administrador y de operador
11.4.3 Identificación de equipos en redes 12.4.2 Protección de los datos de
prueba de sistema 12.5.3 Restricciones en los
cambios a los paquetes de software 12.6.1 Control de vulnerabilidades
técnicas 13.1.2 Reporte de debilidades de
seguridad 15.1.5 Prevención del uso indebido de instalaciones de procesamiento
de información 15.2.2 Verificación de
cumplimiento técnico 15.3.1 Controles de auditoría de sistemas de información
AU-7 Time Stamps AU-12 Monitorización de información CA-7 Monitoreo continuo
SI-4 Monitorización del sistema de información SI-5 Alertas, Asesoría y directivas de seguridad
CM-2 Configuración de la línea base CM-6 Parámetros de configuración CM-8 Inventario de componentes del sistema
CM-9 Plan de gestión de la configuración
1 Inventario de dispositivos autorizados y no autorizados 2 inventario del software autorizado y
no autorizado 6 Seguridad de software de aplicación
9.1.1.1 Determinar que una herramienta MDM se ha implementado para
administrar todos los dispositivos móviles BYOD con acceso a las redes y a la información de la organización.
9.1.1.2 A través de los procedimientos y documentación asociados, determinar si se ha desplegado la herramienta MDM y se está usando para el control de todos los dispositivos BYOD.
9.1.1.3 Si el sistema MDM se instaló desde la última revisión, obtener pruebas
documentales de que el proceso de selección se realizó de acuerdo a las normas de ciclo de vida de desarrollo de sistemas de la empresa (SDLC).
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
129
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
9. G
ESTI
ÓN
DE
DIS
PO
SITI
VO
S M
ÓV
ILES
(MO
BIL
E D
EVIC
E M
AN
AG
EMEN
T)(c
on
t)
9.1.2 Gestión Central de dispositivos BYOD El MDM proporciona funciones de administración centralizada adecuada a la complejidad y tamaño de la población BYOD.
DS5.1 Gestión de la seguridad de TI DS9.1 Repositorio y línea base de
configuración DS9.2 Identificación y mantenimiento de
elementos de la configuración
SD 4.6 Gestión de seguridad de la
información SO 5.13 Gestión de la seguridad de la información y la operación del servicio
SS 8.2 Interfaces del servicio ST 4.1.5.2 Preparación para la transición del servicio
ST 4.3.5.2 Gestión y planificación ST 4.3.5.3 Identificación de la configuración
ST 4.3.5.4 Control de la configuración ST 4.3.5.5 Contabilización y registro de estados
6.1.1 Compromiso de la gerencia
con la seguridad de la información 6.1.2 Coordinación para la seguridad de la información
6.2.3 Considerar la seguridad en los acuerdos con terceros
7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 8.2.2 Educación, entrenamiento y
concientización en seguridad de información
7.2.2 Etiquetado y manejo de la información 10.7.4 Seguridad de la
documentación de sistemas 11.4.3 Identificación de equipos en
redes 12.4.1 Control del software de operaciones
12.4.2 Protección de los datos de prueba de sistema
12.5.3 Restricciones en los cambios a los paquetes de software
12.6.1 Control de vulnerabilidades técnicas
15.1.5 Prevención del uso indebido de instalaciones de procesamiento de información
AU-7 Time Stamps AU-12 Monitorización de información
CA-7 Monitoreo continuo SI-4 Monitorización del sistema de información SI-5 Alertas, Asesoría y directivas de seguridad
CM-2 Configuración de la línea base CM-6 Parámetros de configuración
CM-8 Inventario de componentes del sistema CM-9 Plan de gestión de la configuración
1 Inventario de dispositivos autorizados y no autorizados
2 inventario del software autorizado y no autorizado
6 Seguridad de software de aplicación 2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de
control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red corporativa 11 Aumento del alcance de los vectores de ataque
9.1.2.1
Revisar la documentación MDM y procedimientos de TI, determinar que por lo menos las siguientes características de seguridad de los
dispositivos están habilitados con la herramienta MDM (s): • Un portal seguro para el registro y autenticación de los dispositivos
BYOD. • Aplicación de la política de seguridad centralizada • Bloqueo y borrado remoto datos y aplicaciones instaladas
• Dispositivos de inventario, sistemas operativos (SO), niveles de parches, aplicaciones de la organización y de terceros, y los niveles de
revisión • Distribución de listas blancas y listas negras • Controles de acceso basado en permisos de acceso a las redes y los
datos de la organización • Borrado selectivo y políticas de privacidad de las aplicaciones y datos
de la organización • Distribución y gestión de certificados digitales (para cifrar y firmar digitalmente los correos electrónicos y documentos sensibles)
• Grupos de acceso basado en roles con políticas de control de acceso de grano fino y de aplicación • Distribución de software (aplicaciones, parches, actualizaciones) y
política de cambios • Posponer las actualizaciones automáticas de los proveedores de
servicios de Internet (ISP), por ejemplo, en los casos en que una actualización automática OS puede causar fallos a aplicaciones críticas • Secure logs y audit trails de todas las actividades de BYOD sensibles
• Capacidad para geo-localizar los teléfonos perdidos. • Copia de seguridad y restauración de los datos del dispositivo BYOD
• Retirar o instalar perfiles basados en la localización geográfica, para garantizar el cumplimiento de la legislación extranjera pertinente. • Cuando los dispositivos BYOD intentan conectarse a las redes de la
organización, el sistema MDM comprueba automáticamente: – Los niveles de parches para sistemas operativos y aplicaciones
– Que el software de seguridad necesario está activo y actualizado, es decir, antivirus, firewall, cifrado de disco completo, etc – Que el dispositivo no está “crackeado”.
– Presencia de dispositivos no aprobados (si los hay) – Presencia de aplicaciones de la lista negra
– Si alguno de los controles de inicio de sesión falla, el MDM puede actualizar automáticamente el dispositivo en cuestión (por ejemplo, niveles de parches) o no permitir el acceso.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
131
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security
Controls for Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
9. G
ESTI
ÓN
DE
DIS
PO
SITI
VO
S M
ÓV
ILES
(M
OB
ILE
DEV
ICE
MA
NA
GEM
ENT)
(co
nt)
9.1.2.2
Determinar que el MDM permite las siguientes funciones de apoyo:
• Enviar mensajes de texto a dispositivos seleccionados con las instrucciones para la solución de problemas • Realizar el diagnóstico de dispositivos remotos
• Ver remotamente la pantalla de un dispositivo y tomar capturas de pantalla para ayudar en la solución de problemas
• Toma de control remoto de un dispositivo para la solución de problemas • Activar o desactivar aplicaciones específicas
2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red corporativa 11 Aumento del alcance de los vectores de ataque
9.1.3
Distribución de software seguro El MDM facilita la distribución segura de aplicaciones sensibles de negocio con los controles adecuados previniendo la introducción de aplicaciones de "maliciosas".
DS5.9 Prevención, detección y corrección de software malicioso
10.4.1 Controles contra código malicioso
SC-2 Particiones de aplicaciones
SC-3 Función de aislamiento de seguridad SC-4 Información en recursos compartidos
SC-7 Protección de Fronteras SC-8 Integridad de la trasmisión SC-9 Confidencialidad de la trasmisión
SC-11 Rutas de confianza
5 Defensa contra malware 6 Seguridad de software de aplicación
9.1.3.1 Verificar que el MDM incluye un repositorio privado para la distribución segura de las aplicaciones de la organización.
9.1.3.2 Verificar que el acceso al repositorio de aplicaciones de la empresa se
limita a dispositivos BYOD propiedad de los empleados.
9.1.3.3 Verificar que todas las aplicaciones en el repositorio deben de ser firmadas digitalmente por la empresa.
9.1.3.4 Evaluar con una muestra de dispositivos BYOD si antes de la instalación
de una app de la empresa, el dispositivo BYOD valida la firma digital.
9.1.4
Monitoreo del Uso de BYOD El MDM proporciona capacidades de consulta y presentación de informes adecuados para gestionar la población BYOD proactiva.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar el cumplimiento de requisitos externos
5.1.1 Documento de la política de
seguridad de la información 5.1.2 Revisión de la política de
seguridad de la información 6.1.8 Revisión independiente de la seguridad de la información
6.1.6 Relación con las autoridades que tengan impacto potencial en TI
6.2.3 Considerar la seguridad en los acuerdos con terceros 10.2.2 Monitoreo y revisión de los
servicios de terceros 10.10.2 Monitoreo del uso del sistema
10.10.4 Logs de administrador y de operador
15.1.1 Identificación de legislación aplicable 15.1.2 Derechos de propiedad
intelectual 15.1.4 Protección de datos y
privacidad de la información personal 15.2.1 Cumplimiento con políticas y
estándares de seguridad 15.2.2 Verificación de cumplimiento
técnico 15.3.1 Controles de auditoría de sistemas de información
AU-2 Eventos auditables AU-5 Revisión, análisis y reportes de auditorias AU-6 Generación de informes
AU-7 Time Stamps AU-12 Monitorización de información
CA-7 Monitoreo continuo SI-4 Monitorización del sistema de información SI-5 Alertas, Asesoría y directivas de seguridad
14 Mantenimiento, monitorización y análisis de registros de auditoría de
seguridad 16 Seguimiento y control de cuentas
9.1.4.1 Comprobar que el personal de soporte de TI son capaces de consultar la
base de datos MDM en busca de eventos de carácter de seguridad y de cumplimiento, por ejemplo, dispositivos no respaldados por siete días.
9.1.4.2
Determinar que el sistema MDM proporciona a TI informes
automatizados de excepciones predeterminadas a las políticas de seguridad. Algunos ejemplos son: • Dispositivos fuera del cumplimiento de la política.
• Dispositivos que no han sido revisados en un tiempo determinado. • Dispositivos no compatibles
• Dispositivos con aplicaciones en listas negras • Dispositivos con un uso de datos excesivo, que pueden indicar una posible malversación
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
133
ÁREA DE CONTROL
CONTROL ID
Auditorías Bring Your Own Device Fecha Revisión: Plan de auditoría
CONTROL CoBiT 4.1 ITIL v3 ISO/IEC 27002:2005 NIST: Recommended Security
Controls for Federal Information Systems and Organizations
SANS: 20 Critical Security Controls
RIESGO ASOCIADO
9. G
ESTI
ÓN
DE
DIS
PO
SITI
VO
S M
ÓV
ILES
(M
OB
ILE
DEV
ICE
MA
NA
GEM
ENT)
(co
nt)
9.1.4.3
Verificar que el MDM ofrece cuadros de mando en tiempo real
adecuados e informes regulares para la dirección de TI manteniendo un estricto control sobre la población MDM. Considere lo siguiente: • Existe un motor de reglas para TI que permita definir políticas y
eventos de incumplimiento. • El sistema alerta automáticamente a los administradores de sistemas
de eventos de incumplimiento vía correo electrónico o mensaje de texto.
2 Aumento en la complejidad de los dispositivos, sistemas, aplicaciones y tecnologías 3 Pérdida y robo de dispositivos 4 Gastos adicionales en recursos y dispositivos de seguridad 5 Pérdida de control sobre dispositivos personales de los empleados 8 Pérdida de datos corporativos 9 Diversidad de software de consumo 10 Intrusiones en la red corporativa 11 Aumento del alcance de los vectores de ataque
9.1.5 Interfaces con otros sistemas Control: El MDM facilita interfaces con otros sistemas empresariales y financieros.
DS5.1 Gestión de la seguridad de TI1 DS9.2 Identificación y mantenimiento de
elementos de la configuración
ST 4.1.5.2 Preparación para la transición del servicio
ST 4.3.5.3 Identificación de la configuración ST 4.3.5.4 Control de la configuración
ST 4.3.5.5 Contabilización y registro de estados
6.2.1 Identificación de riesgos relacionados con terceros
7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.2.2 Etiquetado y manejo de la
información 10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red 10.7.4 Seguridad de la
documentación de sistemas 11.4.1 Política de uso de los servicios de red
11.4.2 Autenticación de usuarios para conexiones externas
11.4.3 Identificación de equipos en redes 11.4.4 Protección de puertos de
configuración y diagnóstico remoto 11.4.5 Segregación en redes
11.4.6 Control de conexiones en la red 11.4.7 Control de enrutamiento en la
red 11.6.2 Aislamiento de sistemas
sensitivos 12.4.2 Protección de los datos de prueba de sistema
12.5.3 Restricciones en los cambios a los paquetes de software
12.6.1 Control de vulnerabilidades técnicas 15.1.5 Prevención del uso indebido
de instalaciones de procesamiento de información
CM-1 Políticas y procedimientos de gestión de la configuración CM-6 Parámetros de configuración
CM-8 Inventario de componentes del sistema CM-9 Plan de gestión de la configuración
2 inventario del software autorizado y no autorizado
9.1.5.1 Determinar si se está proporcionando la información adecuada al registro de activos de la compañía.
9.1.5.2 Verificar que la información pertinente se proporciona al área de” Bussiness Intelligence” (BI) con el fin de generar indicadores de gestión
adecuados sobre la implementación BYOD, la seguridad y el cumplimiento.
9.1.6 Gestión remota Verificación de la funcionalidad de gestión remota
9.1.6.1
Confirmar que la de gestión remota se ha ejercido cuando se informa de un dispositivo perdido / robado (por ejemplo, borrado de dispositivo
se llevó a cabo).
9.1.6.2 Confirmar que los dispositivos están reportando violaciones de los controles de las políticas aplicadas.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
135 135
3.1.3 ELABORACIÓN Y PRESENTACIÓN DEL INFORME DEFINITIVO
Una vez trascurrido el periodo establecido para la revisión por parte de los auditados del
informe borrador y modificados aquellos posibles errores existentes en el mismo, se
procede a formalizar la emisión del informe definitivo. Cabe aclarar en este punto que el
informe tiene que tener un carácter objetivo, con lo que opiniones subjetivas o
discrepancias del auditado no deben modificar el contenido del informe.
El informe definitivo es único y no podrá modificarse desde el momento de su
publicación. Debe mostrar aquellas partes más significativas de la revisión realizada,
evaluadas por su importancia y vinculación con el factor riesgo. Su lenguaje debe ser
claro, adecuado, suficiente y comprensible.
Se deberá realizar un apropiado seguimiento de las recomendaciones que figuran en el
informe. Para ello, se exigirá al auditado la realización de un plan de acción asociado a
una fecha de ejecución para la cual el auditado estima que podrá finalizar el plan de
acción. Para la labor de auditoría, este punto resulta de suma importancia ya que en
caso de no realizar un seguimiento de recomendaciones adecuado, los aspectos de
mejora identificados no se corregirán y por consiguiente la auditoría perderá todo el
valor aportado.
A continuación se resumen aquellos puntos que se deberían incluir en un informe
definitivo de auditoría:
1. Identificación del informe: El título del informe deberá ser identificativo y
descriptivo. Debe diferenciarse de manera clara del resto de informes.
2. Destinatarios: Deberán identificarse las personas, grupos, roles o
departamentos, a los que va dirigida la revisión.
3. Identificación de la entidad auditada: Identificación de la entidad objeto de la
auditoría.
4. Antecedentes y objetivos: Declaración de los objetivos de la auditoría
identificando su propósito y el motivo por el cual se lleva a cabo la revisión. Si se
han realizado auditorías previas similares, deberá indicarse en este punto
dejando claro el porqué de la nueva revisión.
5. Alcance: Concretar la naturaleza y extensión del trabajo realizado: área
organizativa, periodo de auditoría, sistemas de la información etc., señalando
posibles limitaciones o ampliaciones del alcance y/o restricciones del auditado.
6. Valoración y conclusiones: Se trata del informe ejecutivo de la auditoría. Incluye
la valoración de la auditoría (por ejemplo podría clasificarse como favorable,
favorable con excepciones, mejorable o deficiente) y es un resumen de los
hechos observados y recomendaciones que se explican a continuación. Debe ser
conciso y directo, está dirigido normalmente (dependiendo de la tipología del
trabajo) a la alta dirección. Habitualmente, no suele ocupar más de dos hojas.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
136
7. Hechos observados y recomendaciones: Describen en detalle aquellos aspectos
de mejora que se han identificado durante el proceso de auditoría. Todo lo
expuesto debe estar sustentado por evidencias y debe ser fácilmente trazable
con los papeles de trabajo de las mismas. Una posible es estructura para la
descripción apropiada de los hechos observados es:
o Descripción: Descripción concisa y razonada del aspecto de mejora
encontrado. Debe ser objetivo y basarse en las mejores prácticas y
estándares existentes.
o Riesgo existente: Expresa el riesgo existente en caso de no corregirse el
hecho observado y el impacto que podría tener en la entidad.
o Valoración hecho observado: Es una medición del nivel de riesgo del
hecho observado.
o Recomendación: Es una acción de mejora que auditoría recomienda para
paliar o eliminar el riesgo asociado al hecho observado. El auditado, en su
plan de acción, puede optar por realizar la recomendación de auditoría o
bien cualquier otra acción para reducir el riesgo, siempre bajo la
aprobación de auditoría.
o Departamento o área a la que se dirige: Se incluye el departamento o
área a la que se dirige el hecho observado.
8. Plan de acción (opcional): Como ya se ha comentado, los planes de acción
requieren de un seguimiento continuo para poder asegurar que la labor de
auditoria aporta todo el valor que persigue. Los planes de acción deben ser
cumplimentados y ejecutados por el auditado, y auditoría debe validarlos.
Dentro de un informe de auditoría, es un campo opcional porque en muchas
ocasiones los planes de acción no se cumplimentan dentro del propio informe,
sino que se dispone de una herramienta específica para su gestión. En otros
casos, es de carácter obligatorio que, durante el periodo borrador, el auditado
rellene que plan de acción antes de la emisión del informe definitivo.
9. Fecha, identificación y firma del auditor/es responsable/s: Este aspecto formal
es esencial del informe y debe recoger al auditor/es responsable/s del mismo. En
el caso de una entidad auditora externa, firmará uno o varios socios de la misma.
10. Anexos: Información adicional que facilita la comprensión del contenido del
informe.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
137 137
3.2 ANÁLISIS PLAN DE AUDITORÍA CLOUD COMPUTING
3.2.1 VISIÓN GENERAL POR ESTÁNDAR
En este punto se presenta un análisis de completitud desarrollado sobre los distintos
estándares empleados en el plan de auditoría para auditorías de entornos Cloud
Computing, con la intención de presentar al auditor una visión general sobre cómo
cubren los diferentes estándares empleados los controles. Gracias a esta información, el
equipo auditor puede consultar, sin demorarse, cuán de completos resultan los marcos
de referencia empleados para cubrir la totalidad de las áreas de control definidas, así
como ampliar y mejorar la información presentada accediendo a cada uno de los
vínculos del mapeo realizado.
En los siguientes apartados se muestra, para los cinco estándares analizados y sobre el
total de controles del plan de auditoría (45), el porcentaje de controles que existe y
tiene una relación directa en los estándares. Cabe destacar que, COBIT, ITIL e ISO/IEC
27002:2005 son marcos que cubren la totalidad del proceso de gestión, control y
mantenimiento de las TICs22 mientras que en el caso de NIST y SANS, se centran más en
el área de seguridad, dejando fuera del alcance elementos relacionados con
proveedores o políticas (entre otros).
De los datos presentados se puede extraer la conclusión de que, utilizando COBIT 4.1 y la
ISO/IEC 27002:2005, podemos auditar de manera completa un entorno Cloud
Computing, aunque es recomendable contrastar y comparar la información de los
diferentes marcos de referencia, para poder desarrollar planes de auditoría eficaces y
cumplir con los objetivos establecidos para la auditoría.
3.2.1.1 COBIT 4.1
Imagen 13: Resultados COBIT 4.1 Cloud Computing
22
Tecnologías de la Información y Comunicaciones
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
138
Al observar la gráfica correspondiente a COBIT 4.1, se puede apreciar que todos los
controles definidos para el plan de auditoría se recogen en dicho estándar. El motivo
fundamental, como ya se ha mencionado anteriormente, es el hecho de que el plan de
auditoría está basado en los controles que ISACA propone en su documento “IT Control
Objectives for Cloud Computing: Controls and Assurance in the Cloud” [2] y a su vez estos
controles se basan en COBIT. No obstante, existen dominios con un porcentaje de
control superior a otros, como se detalla en el apartado 4.1.2.
3.2.1.2 ITIL v3
Imagen 14: Resultados ITIL v3 Cloud Computing
Los resultados extraídos muestran que un 4% de los controles implementados no se
encuentran reflejados en ITIL v3 o que su correspondencia no está definida con claridad.
Este porcentaje hace referencia a los puntos de control que se detallan a continuación:
El proveedor de servicios pone a disposición de los clientes acuerdos con
terceras partes independientes, usando procedimientos de auditoría para
describir las prácticas de control llevadas a cabo en las instalaciones de los
diferentes terceros.
Los ANS están alineados y elaborados en conjunción con los resultados de la
valoración de riesgos.
Para los puntos de control mencionados, se deben consultar otros estándares si se
quiere ampliar o modificar la información presente en el plan de auditoría (véase el
apartado 3.2.2.2 para mayor detalle).
96%
4%
ITIL v3
Existe control No existe control
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
139 139
3.2.1.3 ISO/IEC 27002:2005
Imagen 15: Resultados ISO/IEC 27002:2005 Cloud Computing
De forma similar que con COBIT, este estándar de seguridad de las TIC nos aporta todo
el contenido necesario para llevar a cabo nuestro plan de auditoría. Contiene
información tanto de gobierno y control de TI, como de desarrollo e implementaciones
de un modelo seguro y adecuadamente gestionado.
3.2.1.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
Imagen 16: Resultados NIST Cloud Computing
NIST muestra una amplia guía de controles destinados a gestionar de manera correcta la
Seguridad de la Información de nuestra organización. Al igual que ocurrió con los casos
de la ISO27002 y COBIT, este estándar de Seguridad de la Información nos aporta todo el
contenido necesario para llevar a cabo nuestro plan de auditoría. Contiene información
100%
0%
NIST: Recommended Security Controls for Federal Information Systems and
Organizations
Existe control No existe control
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
140
tanto de gobierno y control de TI como de desarrollo e implementaciones de un modelo
seguro y correctamente gestionado.
3.2.1.5 SANS: 20 Critical Security Controls
Imagen 17: Resultados SANS Cloud Computing
En este documento anual publicado por SANS trata sobre los 20 controles críticos de
seguridad, se percibe que un 40% de los puntos de control que se detallan en el plan de
auditoría no se encuentran identificados entre sus controles. Una posible explicación a
este hecho observado es que, según SANS, el 40% de los puntos de control del plan de
auditoría no estarían actuando sobre los elementos críticos de seguridad de la empresa.
Con todo, destaca que se trata de controles muy técnicos, por lo que esta interpretación
podría no ser del todo correcta.
Se encuentran fuera del ámbito de SANS los siguientes puntos de control:
Ambas partes definen las relaciones para presentar los informes y las
responsabilidades.
El proveedor de servicios ha establecido procesos para alienar sus
operaciones con los requisitos del cliente.
El cliente realiza controles para asegurar el cumplimiento con la regulación y
los requerimientos establecidos.
El equipo de contrataciones que representa al cliente en términos legales,
financieros, seguridad de la información y unidades de negocio ha
identificado e incluido los requisitos contractuales desde la perspectiva del
cliente, y el equipo legal del proveedor de servicios ha asegurado la
satisfacción del cliente.
El cumplimiento legal de acuerdo a leyes locales como globales están
definidas como componentes del contrato.
60%
40%
SANS: 20 Critical Security Controls
Existe control No existe control
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
141 141
Determinar si los datos de Cloud Computing violan alguno de los puntos
definidos en los estamentos reguladores de la información.
Los escenarios de despliegue (SaaS, PaaS, IaaS) definen las responsabilidades
de protección de datos entre el cliente y el proveedor de servicios, y estas
responsabilidades están claramente establecidas.
La certificación ISO 27001 garantiza que el proveedor de servicios sigue las
mejores prácticas de seguridad.
Procedimientos de notificación acordes a las leyes locales son incorporados
en el proceso de incidentes y eventos.
Determinar si los requisitos de los informes de monitorización están
alineados con la política de informes de incidentes establecida por el cliente.
Obtener los informes de incidentes monitorizados durante un periodo
representativo de tiempo.
Obtener el procedimiento de monitorización de incidencias del cliente.
Determinar si el procedimiento de monitorización de incidentes rastrea tanto
los incidentes internos como los del proveedor de servicios.
El SDLC incluye procesos para asegurar que los requisitos de cumplimiento
están identificados, asignados a la aplicación basada en Cloud, e incluidos en
el producto final. Los vacíos de cumplimiento son escalados a la alta dirección
correspondiente para la renuncia de su aprobación.
Herramientas y Servicios: Todas las herramientas y servicios utilizados en el
desarrollo, gestión y monitorización de las aplicaciones están detalladas, y la
propiedad está documentada, y su efecto en la seguridad de la aplicación
está explícitamente analizada.
Datos en Reposo: Los datos almacenados en una base de datos activa en
producción dentro de un sistema Cloud están cifrados, con conocimiento de
las claves de descifrado únicamente por parte del cliente.
Repositorios de Clave Seguros: Los repositorios de clave están protegidos
durante la transmisión, almacenamiento y copia de seguridad.
Suministro de Identidad: El suministro de usuario, desabastecimiento
(finalización) y los cambios en las condiciones de las aplicaciones basadas en
Cloud y de las plataformas de operación se gestionan de manera oportuna y
controlada, de acuerdo con las políticas internas de acceso de usuario.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
142
3.2.2 VISIÓN POR DOMINIOS DE CONTROL
Profundizando en el análisis y dividiendo los marcos en los dominios de control que se
concretaron en el punto 3 Introducción, obtenemos los porcentajes de controles que
aplican sobre cada dominio de los estándares. Para conocer cuáles son los dominios
principales sobre los que nuestro plan Cloud Computing se centra y cuáles se encuentran
menos revisados, tan sólo será necesario revisar esos porcentajes, que lo detallan con
exactitud.
A través de esta información, se pueden conocer cuáles son los puntos fuertes y débiles
del plan de auditoría (véase los puntos 3.2.3 y 3.2.4).
3.2.2.1 COBIT 4.1
Imagen 18: Detalle Dominios COBIT 4.1 Cloud Computing
La mitad de los controles de COBIT asociados al plan de auditoría Cloud Computing
pertenecen al dominio “Entrega y Soporte”. Aunque se especificó en el apartado 3, se
trata de un dominio amplio con controles que se centran en la gestión de la
configuración y del servicio, seguridad de los sistemas y formación, entre otros.
Asimismo, hay un elevado porcentaje de controles reflejados en el dominio de
“Planificación y Organización”, donde se encuentra la definición de planes estratégicos,
administración de la calidad del servicio, gestión de riesgos o la administración de
proyectos, entre otros.
Es relevante resaltar los porcentajes casi igualados del dominio “Adquisición e
Implementación” con el dominio de “Supervisión y Evaluación”. El primero de estos
dominios desarrolla sus controles en base a una adquisición de un recurso y/o software
nuevo para dar cobertura a los servicios Cloud Computing y, el segundo, enfoca sus
controles en la aplicación de los mismos y en otros puntos como la formación o la
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
143 143
continuidad del negocio. En ambos casos, el plan de auditoría no se dirige tanto hacia la
revisión de nuevas adquisiciones, sino en la evaluación de todos los procesos asociados a
TI y Cloud Computing que ya se encuentran implementados.
3.2.2.2 ITIL v3
Imagen 19: Detalle Resultados ITIL v3 Cloud Computing
Cuando se analiza la información de los controles del plan de auditoría Cloud Computing
que se encuentran asociados a ITIL se obtiene que, del total de los controles de ITIL que
hacen referencia al plan de auditoría desarrollado, algo más de la mitad de ellos
pertenecen al dominio “Operativa del Servicio”. Se trata de un dato lógico debido a las
similitudes entre COBIT e ITIL y, viendo los resultados proporcionados por COBIT, era de
esperar que nuevamente existiera un dominio principal. Este dominio centra sus
controles en la gestión de eventos, incidentes, problemas, demandas y accesos
asociados al servicio.
Los controles del dominio “Diseño del Servicio” abarcan el 22% del total. Este dominio
tiene como objetivo el análisis de viabilidad de los servicios (analizando infraestructuras,
capacidad del personal, niveles y catálogos de servicio, entre otros). También es
relevante la existencia de un 14% de controles del dominio “Transición del Servicio”.
Este dominio guarda está relacionado con el dominio “Planificación y Organización” de
COBIT, especialmente en lo relacionado con la dirección de los servicios, elaboración de
procedimientos, la definición de estratégicas, marcos de procesos etc.
También, se puede apreciar que el dominio con menos controles asociados es “Servicio
de Mejora Continua”. Este dominio se refiere a la continua monitorización y medición de
todas las actividades y procesos involucrados en la prestación de los servicios TI .
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
144
3.2.2.3 ISO/IEC 27002:2005
Imagen 20: Resultados ISO/IEC 27002:2005 Cloud Computing
Al observar el gráfico, se precisa que la información que la ISO/IEC 27002:2005 nos
aporta en su relación con el plan de auditoría Cloud Computing es más proporcional en
la distribución de controles. El motivo de esto es la segmentación de dominios,
aumentando en más del doble el número de dominios de COBIT o ITIL.
Aunque estos controles se encuentran distribuidos uniformemente, podrían
mencionarse los dominios de “Gestión de Comunicaciones y Operaciones”,
“Cumplimiento” y “Aspectos Organizativos de la Seguridad de la Información”, que
suponen la mitad de los mismos. Estos dominios guardan una relación directa con
muchos de los controles identificados en COBIT e ITIL de los dominios de “Entrega y
Soporte” y “Operativa del Servicio” respectivamente.
Por otro lado, el dominio con menor control es el de la “Seguridad física y del entorno”.
Se trata de un dominio que no ha sido tratado en profundidad debido a su menor
relevancia para el objetivo perseguido, empleándose únicamente en aquellas áreas que
pudieran afectar directamente a este plan de auditoría.
Es importante mencionar que la ISO/IEC 27002:2005, como marco de buenas prácticas
de Seguridad de la Información, centra sus controles mayoritariamente en el ámbito de
la seguridad, aportando más detalle que COBIT e ITIL dentro de este área. Como
contraposición, la tipología de controles de COBIT e ITIL es más genérica si bien en
mismos se consideran muchas cuestiones de seguridad de la información.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
145 145
3.2.2.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
Imagen 21: Resultados NIST Cloud Computing
En cuanto al análisis realizado para los controles de NIST que se encuentran asociados al
plan de auditoría Cloud Computing, destacan los controles de:
Protección de sistemas y comunicaciones.
Integridad de sistemas e información.
Control de acceso.
Auditoría.
Si se observan los resultados mostrados anteriormente, vemos que esta información se
encuentra alineada con los mismos. Los dominios predominantes en COBIT, ITIL e ISO, se
corresponden a su vez con los dominios “Protección de sistemas y comunicaciones” e
“Integridad de sistemas e información”. Además, en ITIL e ISO/IEC 27002:2005 se
observaba una cantidad alta de controles asociados a “Control de acceso”. La función de
“Auditoría” la encontramos en el dominio de “Supervisión y Evaluación” en COBIT,
“Operativa del Servicio” en ITIL y “Cumplimiento” en ISO/IEC 27002:2005.
A su vez es llamativo el alto número de controles relacionados con los dominios de:
Adquisición de Sistemas y Servicios.
Evaluación del Riesgo.
Planes de Contingencia.
Todos los dominios se encuentran contemplados dentro del plan de auditoría Cloud
Computing, lo que resulta bastante interesante dado que, aunque haya dominios con
una baja representatividad (como por ejemplo, “Mantenimiento” con un 2% del total),
existe algún control que pueda representar tal dominio. De esta forma, el plan de
auditoría desarrollado demuestra abarcar los diferentes dominios de estándares tan
distintos entre sí.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
146
3.2.2.5 SANS: 20 Critical Security Controls
Imagen 22: Imagen 24: Resultados SANS Cloud Computing
Al diferencia del resto de estándares, SANS, en su documento “SANS: 20 Critical Security
Controls” [27], identifica 20 controles críticos de seguridad para una gestión apropiada
de las TIC. En este caso, no se trata de un marco de referencia sino de una recopilación
de controles dentro del ámbito de la Seguridad de la TIC.
Este análisis nos permitirá comprobar cuán de alineado está nuestro plan con los
controles definidos por SANS. Podemos observar que los principales dominios son
“Mantenimiento, seguimiento y análisis de registros de auditoría de seguridad” y
“Evaluación continua de vulnerabilidades”. El objetivo del primer dominio se basa en
gestionar el proceso de auditoría; mientras que el objetivo del segundo se focaliza en
gestionar, identificar, documentar y reparar las vulnerabilidades del software.
Más dominios de seguridad interesantes reflejados en el plan de auditoría, según SANS,
son: “Capacidad de recuperación de datos” y “Seguridad de software de aplicación”.
Si analizamos en conjunto toda la información que los anteriores marcos nos han
proporcionado, obtenemos que, aunque los dominios más destacados en SANS estén
relacionados con los mayoritarios en el resto de estándares, se observa una mayor
variedad de correspondencias entre dominios, teniendo los dominios de SANS
equivalencias con muchos más dominios de cada estándar. Por lo tanto, en este caso, no
se puede establecer una única correspondencia con los dominios de cada estándar, sino
que se encuentra repartido este porcentaje.
Por el contrario, los dominios “Inventario de dispositivos autorizados y no autorizados”,
“Inventario de software autorizado y no autorizado”, “Control de Dispositivos Wireless”,
“Configuración segura para los dispositivos de red” y “Defensa Perimetral”, no se
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
147 147
encuentran reflejados en nuestro plan de auditoría. Se puede concluir que, utilizando
nuestro plan de auditoría, no resulta tan relevante el dispositivo que pueda utilizar Cloud
Computing sino las medidas de seguridad aplicadas sobre el propio entorno.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
148
3.2.3 PUNTOS FUERTES PLAN DE AUDITORÍA
En este apartado se mencionan los principales elementos de control del plan de
auditoría Cloud Computing. Esta información está basada en el análisis mostrado en los
anteriores puntos y tiene como objetivo mostrar al lector de este trabajo cuáles serían
las áreas más revisadas en caso de auditar un entorno Cloud Computing con el plan de
auditoría desarrollado en el presente proyecto.
Además, con dicha información, se puede concluir que las áreas mostradas en el
siguiente gráfico son las principales a la hora de llevar a cabo un despliegue de un
entorno Cloud Computing. Esto no quiere decir que no se deban considerar otros
elementos; sino que para llevar a cabo una adecuada gestión de un entorno Cloud
Computing, las prioridades de nuestro estudio son las aquí identificadas:
Imagen 23: Principales Puntos de Control del Plan de auditoría Cloud Computing
• Controles y procedimientos para
comunicaciones y sistemas de los SI
• Gestión, identificación, documentación y reparación de las vulnerabilidades
• Estratégias y tácticas con el fin de que TI
pueda ayudar a negocio a la consecución de sus
objetivos
• Elementos de configuración de la
infraestructura de TI
Gestión de la Configuración
Planificación, Organización,
Cumplimiento y Aspectos
Organizativos
Protección de Comunicaciones y
Sistemas
Evaluación continua de
vulnerabilidades
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
149 149
3.2.4 PUNTOS DÉBILES PLAN DE AUDITORÍA
En esta sección se comentan aquellas áreas menos revisadas por el plan de auditoría
Cloud Computing y que, por consiguiente, sería aconsejable valorar una posible
ampliación del plan o bien considerar si desarrollar auditorías específicas para controlar
y revisar los siguientes puntos:
Imagen 24: Puntos Débiles Plan Trabajo Cloud Computing
Seguridad física y del entorno: Hace referencia a aquellos controles que se centran en la prevención ante accesos físicos no autorizados a las instalaciones
y/o información de la empresa. A pesar de estar tratando con sistemas Cloud Computing, no se debe descuidar la seguridad física, especialmente si la empresa
se encargará de mantener de los servidores que proporcionen el servicio Cloud Computing.
Mantenimiento: Hace referencia al mantenimiento de sistemas, equipos y servicios de las organizaciones. Está estrechamente relacionado con el punto anterior. Tanto el hardware como el software se debería mejorar, probar y
actualizar con frecuencia y continuidad para verificar un correcto funcionamiento evitando así posibles vulnerabilidades (a pesar de que se hagan pruebas contra
las mismas de forma asidua).
Inventario de software y dispositivos autorizados y no autorizados: El plan de auditoría expuesto no revisa la existencia de un listado de software y dispositivos permitidos para cada sistema. Debido a que el objetivo principal de los controles
Seguridad física y del entorno
Mantenimiento
Inventario de software y
dispositivos autorizados y
no autorizados
Proceso de Mejora
Continua
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
150
definidos es revisar y evaluar las infraestructuras y comunicaciones asociadas a
los entornos Cloud Computing.
Proceso de Mejora Continua: La utilización de un proceso de mejora continua,
revisado y actualizado frecuentemente, debe ser aplicado en toda la compañía y hace que sea posible destacar entre la competencia al optimizar la eficiencia de
los procesos y sistemas de la información de la compañía. Además, la dirección debe implicarse en dicho proceso a fin de dar soporte y promover las iniciativas y
mejoras obtenidas como resultado del mismo.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
151 151
3.3 ANÁLISIS PLAN DE AUDITORÍA BRING YOUR OWN DEVICE
3.3.1 VISION GENERAL POR ESTÁNDAR
Este apartado presenta un análisis de completitud realizado sobre los diferentes
estándares utilizados en el plan de auditoría para auditorías de entornos BYOD. Se
presenta al auditor una visión general sobre cómo cubren los diferentes estándares los
controles implementados. Con esta información, el equipo auditor puede rápidamente
consultar cuan de completos resultan los marcos de referencia empleados para cubrir la
totalidad de las áreas de control definidas, así como ampliar y mejorar la información
presentada accediendo a cada uno de los vínculos del mapeo realizado.
En los puntos sucesivos se muestra, para los cinco estándares analizados y sobre el total
de controles del plan de auditoría (26), el porcentaje de controles que existe y tiene una
relación directa en los estándares. Cabe destacar que, COBIT, ITIL e ISO/IEC 27002:2005
son marcos que cubren la totalidad del proceso de gestión, control y mantenimiento de
las TIC mientras que en el caso de NIST y SANS, se centran más en el área de seguridad,
dejando fuera del alcance elementos relacionados con proveedores o políticas (entre
otros).
Una de las conclusiones que se pueden extraer de los datos presentados a continuación
es que, utilizando COBIT 4.1 y la ISO/IEC 27002:2005, podemos auditar de manera
completa un entorno BYOD, si bien es recomendable contrastar y comparar la
información de los diferentes marcos de referencia para poder desarrollar planes de
auditoría eficaces y que cumplan con los objetivos establecidos para la auditoría.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
152
3.3.1.1 COBIT 4.1
Imagen 25: Resultados COBIT 4.1 BYOD
Observando la gráfica correspondiente a COBIT 4.1, se puede apreciar que, como era de
esperar, todos los controles definidos para el plan de auditoría se recogen en dicho
estándar. El motivo fundamental es que, como ya se ha mencionado anteriormente, el
plan de auditoría está basado en los controles que ISACA propone en su documento
“Bring Your Own Device (BYOD) Security Audit/Assurance Program” [3] y a su vez estos
controles se basan en COBIT. Sin embargo, como se detalla en el apartado 3.2.2 existen
dominios con un porcentaje de control superior a otros.
3.3.1.2 ITIL v3
Imagen 26: Resultados ITIL v3 BYOD
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
153 153
Los resultados obtenidos muestran que un 27% de los controles implementados no se
encuentran reflejados en ITIL v3 o bien su correspondencia no está claramente definida.
Dicho porcentaje hace referencia a los siguientes puntos de control:
Políticas de recursos humanos para BYOD
Legalidad y cumplimiento normativo
Protecciones contra el Malware
Distribución de Software Seguro (Mobile Device Managament)
Monitorización usuarios y dispositivos BYOD
Para dichos puntos de control, se deben consultar otros estándares si se quiere ampliar
o modificar la información presente en el plan de auditoría (véase el apartado 3.2.2.2
para mayor detalle).
3.3.1.3 ISO/IEC 27002:2005
Imagen 27: Resultados ISO/IEC 27002:2005 BYOD
Al igual que ocurrió con COBIT, este estándar de Seguridad de la Información nos aporta
todo el contenido necesario para llevar a cabo nuestro plan de auditoría. Contiene
información tanto de gobierno y control de TI como de desarrollo e implementaciones
de un modelo seguro y correctamente gestionado.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
154
3.3.1.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
Imagen 28: Resultados NIST BYOD
En su guía de controles de seguridad, NIST muestra un amplio conjunto de controles
destinados a gestionar de manera correcta la seguridad de las TIC de la organización. De
acuerdo con el plan de auditoría desarrollado, existe un 19% de controles sin
correspondencia en dicha guía. Estos controles hacen referencia a:
Políticas de recursos humanos asociadas a dispositivos BYOD
Control de proveedores y su adaptación a las políticas BYOD internas de la
empresa.
Procedimiento de excepciones BYOD
Servicio de ayuda y soporte para dispositivos BYOD
3.3.1.5 SANS: 20 Critical Security Controls
Imagen 29: Resultados SANS BYOD
En el documento anual que SANS publica sobre los 20 controles críticos de seguridad, se
observa que un 38% de los puntos de control que se detallan en el plan de auditoría no
se encuentran identificados entre sus controles. Una interpretación posible de dichos
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
155 155
resultados es que, según SANS, el 38% de los puntos de control del plan de auditoría no
estarían actuando sobre los elementos críticos de seguridad de la empresa. Sin embargo,
cabe resaltar que se trata de controles muy técnicos, por lo que esta interpretación
podría no ser del todo correcta.
Los puntos de control que se encuentran fuera del ámbito de SANS son:
Valoración inicial del riesgo y realización de un plan de riesgos.
Políticas de Seguridad de la Información.
Control de proveedores y su adaptación a las políticas BYOD internas de la
empresa.
Procedimiento de excepciones BYOD.
Legalidad y cumplimiento normativo.
Servicios de ayuda y soporte BYOD.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
156
3.3.2 VISIÓN POR DOMINIOS DE CONTROL
Si continuamos profundizando en el análisis y dividimos los marcos analizados en los
dominios de control que se definieron en el punto 3 Introducción, obtenemos los
porcentajes de controles que aplican sobre cada dominio de los estándares. Estos
porcentajes detallan exactamente cuales los dominios principales sobre los que nuestro
plan BYOD se centra y cuales se encuentran menos revisados. Otro de los objetivos del
análisis es encontrar nexos de unión entre los resultados que cada estándar nos
proporciona.
Con esta información, podremos conocer cuáles son los puntos fuertes y débiles del plan
de auditoría (véase los puntos 3.3.3 y 3.3.4).
3.3.2.1 COBIT 4.1
Imagen 30: Detalle Dominios COBIT 4.1 BYOD
Sobre el total de controles de COBIT asociados al plan de auditoría BYOD, más de la
mitad pertenecen al dominio “Entrega y Soporte”. Como ya se definió en el apartado 3,
se trata de un dominio amplio con controles que se centran en la gestión de la
configuración y del servicio, seguridad de los sistemas y formación entre otros. También
hay un alto porcentaje de controles asociados al dominio de “Planificación y
Organización”, donde se encuentra la definición de planes estratégicos, administración
de la calidad del servicio, gestión de riesgos o la administración de proyectos entre
otros.
Cabe destacar el porcentaje nulo del dominio “Adquisición e Implementación”. Este
dominio desarrolla sus controles en base a una adquisición de un recurso y/o software
nuevo para dar cobertura a los servicios BYOD. En este caso, el plan de auditoría no se
centra en la revisión de nuevas adquisiciones sino en la evaluación de todos los procesos
asociados a TI y BYOD que ya se encuentran implementados.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
157 157
3.3.2.2 ITIL v3
Imagen 31: Detalle Resultados ITIL v3 BYOD
Al analizar la información de los controles del plan de auditoría BYOD que se encuentran
reflejados en ITIL obtenemos que de la totalidad de controles de ITIL que hacen
referencia al plan de auditoría desarrollado, la mitad de ellos pertenecen al dominio
“Operativa del Servicio”. Se trata de un dato lógico, pues debido a las similitudes entre
COBIT e ITIL y viendo los resultados proporcionados por COBIT, era de esperar que
nuevamente existiera un dominio principal. Este dominio centra sus controles en la
gestión de eventos, incidentes, problemas, demandas y accesos asociados al servicio.
También existen un 20% de controles del dominio “Transición del Servicio”. Este
dominio guarda cierta relación con el dominio “Planificación y Organización” de COBIT,
sobre todo en lo relacionado con la dirección de los servicios, elaboración de
procedimientos, la definición de estratégicas, marcos de procesos etc.
Los datos muestran que, el dominio con menos controles asociados es “Servicio de
Mejora Continua”. Se refiere a la continua monitorización y medición de todas las
actividades y procesos involucrados en la prestación de los servicios TI.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
158
3.3.2.3 ISO/IEC 27002:2005
Imagen 32: Resultados ISO/IEC 27002:2005 BYOD
La información que la ISO/IEC 27002:2005 nos aporta en su relación con el plan de
auditoría BYOD, es mucho más proporcional en la distribución de controles. Esto se debe
a la segmentación de dominios, incrementando en más del doble el número de dominios
de COBIT o ITIL.
Dentro de esta uniformidad en la distribución de los controles, podrían destacarse los
dominios de “Control de Accesos” y “Gestión de Comunicaciones y Operaciones”, los
cuales suponen la mitad de los mismos. Estos dominios guardan una relación directa con
muchos de los controles identificados en COBIT e ITIL de los dominios de “Entrega y
Soporte” y “Operativa del Servicio” respectivamente.
El dominio con menor control es el de la “Gestión de la Continuidad del Negocio”. Se
trata de un dominio complejo el cual podría requerir un proceso de auditoría
independiente si se quisiera revisar por completo. No obstante, dentro de este plan de
auditoría, únicamente se revisa el aseguramiento de la continuidad del negocio en los
dispositivos BYOD y la información que éstos almacenan.
Cabe destacar que la ISO/IEC 27002:2005, como marco de buenas prácticas de
Seguridad de la Información, centra sus controles más en el ámbito de la seguridad,
aportando mayor detalle que COBIT e ITIL dentro de esta área. La tipología de controles
de COBIT e ITIL es más genérica si bien dentro de los mismos se consideran muchas
cuestiones de seguridad de la información.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
159 159
3.3.2.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
Imagen 33: Resultados NIST BYOD
Del análisis de los controles de NIST que se encuentran reflejados en el plan de auditoría
BYOD, prevalecen los controles asociados a:
Control de acceso.
Formación y concienciación.
Auditoría.
Gestión de la configuración.
Esta información se encuentra alineada con otros resultados mostrados anteriormente.
COBIT ya identificaba el dominio de “Entrega y Soporte” (en NIST “Gestión de la
Configuración”) como el principal en el plan de auditoría. Además, en ITIL e ISO/IEC
27002:2005 se observaba una cantidad alta de controles asociados al control de acceso y
formación. La función de auditoría la encontramos en el dominio de “Monitorización y
Evaluación” en COBIT, “Operativa del Servicio” en ITIL y “Cumplimiento” en ISO/IEC
27002:2005.
Cabe resaltar también un alto número de controles asociados a los dominios de:
Integridad de Sistemas e Información.
Identificación y Autenticación.
Evaluación del Riesgo.
Protección de Sistemas y Comunicaciones.
Existen tres dominios que no se encuentran contemplados dentro del plan de auditoría
BYOD. Estos dominios son “Planes de Contingencia”, “Adquisición de sistemas y
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
160
Servicios” y “Respuesta a incidentes”. El primero de ellos hace referencia a todos los
procedimientos y políticas asociadas al plan de contingencia de la empresa (backups,
recuperación de datos) para poder asegurar la continuidad del negocio. En el segundo
caso, se trata de un dominio que controla los procedimientos necesarios para la
adquisición de sistemas y servicios para la organización (COBIT “Adquisición e
Implementación”) mientras que el último se revisan los procedimientos existentes para
dar una respuesta óptima a posibles incidentes den los Sistemas de la Información.
3.3.2.5 SANS: 20 Critical Security Controls
Imagen 34: Resultados SANS BYOD
Al contrario que el resto de estándares, SANS, en su documento “SANS: 20 Critical
Security Controls” [27], identifica 20 controles críticos de seguridad para una gestión
apropiada de las TIC. No se trata de un marco de referencia sino de una recopilación de
controles dentro del ámbito de la Seguridad de la Información.
Desde el punto de vista estricto de seguridad, este análisis nos permitirá comprobar
cuan de alineado esta nuestro plan con los controles definidos por SANS. Podemos
observar que el principal dominio es “Limitación y control de puertos, protocolos y
servicios”. El objetivo de este dominio se basa en tratar de asegurar el acceso remoto
seguro, permitiendo acceder a la información únicamente a usuarios y servicios
estrictamente necesarios.
Otros dominios de seguridad relevantes reflejados en el plan de auditoría, según SANS,
son: Configuración segura de hardware y software, Uso controlado de privilegios
administrativos, inventario del software autorizado y no autorizado, seguimiento y
control de cuentas o Acceso controlado basado en necesidades.
Nuevamente, si analizamos en conjunto toda la información que los anteriores marcos
nos han proporciona, obtenemos las siguientes sinergias: “Limitación y control de
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
161 161
puertos, protocolos y servicios”, “Configuración segura de hardware y software”, “Uso
controlado de privilegios administrativos”, “Inventario del software autorizado y no
autorizado”, “Seguimiento y control de cuentas”, “Acceso controlado basado en
necesidades”. (Véase punto 3 para consultar la definición y el alcance de cada dominio).
Podemos observar como el dominio “Capacidad de Recuperación de Datos” no se
encuentra reflejado en nuestro plan de auditoría. Al igual que nos mostraba la
información anterior de NIST, no se han definido controles asociados a la realización de
back-ups y/o recuperación/restauración de información.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
162
3.3.3 PUNTOS FUERTES PLAN DE AUDITORÍA
A continuación se muestran los principales elementos de control del plan de auditoría
BYOD. Esta información se basa en el análisis mostrado anteriormente y tiene como
objetivo mostrar al lector cuales serían las áreas más revisadas en caso de auditar un
entorno BYOD con el plan de auditoría desarrollado en el presente proyecto.
Con esta información, podemos además concluir que las áreas mostradas a continuación
son las principales a la hora de llevar a cabo un despliegue de un entorno BYOD. Esto no
quiere decir que no se deban considerar otros elementos, sin embargo, para llevar a
cabo una adecuada gestión de un entorno BYOD, nuestro estudio identifica las
siguientes prioridades:
Imagen 35: Principales Puntos de Control del Plan de auditoría BYOD
• Comunicaciones, redes y accesos a los SI
• Formación y concienciación de los
miembros de las organizaciones
• Estratégias y tácticas con el fin de que TI
pueda ayudar a negocio a la consecución de sus
objetivos
• Elementos de configuración de la
infraestructura de TI
Gestión de la Configuración
Planificación y Organización
Protección de Comunicaciones y
accesos
Formación y Concienciación
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
163 163
3.3.4 PUNTOS DÉBILES PLAN DE AUDITORÍA
En este apartado se identifican aquellas áreas menos revisadas por el plan de auditoría
BYOD y que por consiguiente sería recomendable valorar una posible ampliación del
plan o bien considerar si se podrían llevar a cabo auditorías específicas para controlar y
revisar los siguientes puntos:
Imagen 36: Puntos Débiles Plan Trabajo BYOD
Continuidad del Negocio: Hace referencia al Plan de Continuidad de Negocio (PCN) y a la inclusión de BYOD dentro del alcance del mismo. Ante un posible
desastre natural y/o urgencia crítica, se debe contemplar los dispositivos BYOD dentro de las acciones de recuperación definidas. Son comunes auditorías del
PCN, por lo que conviene incluir a los entornos BYOD en el alcance de las mismas.
Recuperación de datos: No se han incluido controles asociados a los procesos de generación de copias de seguridad o backups de los sistemas asociados al
entorno BYOD. Tampoco existen controles para verificar el proceso de restauración de las copias de seguridad creadas. Resulta fundamental tanto la
replicación de sistemas como las pruebas periódicas que verifiquen la capacidad para restaurar la información replicada.
Adquisición e Implantación de Servicios: El plan de auditoría expuesto se centra
en la revisión de políticas, procedimientos, sistemas y dispositivos ya instalados en la compañía. No se han definido controles que revisen el proceso de
adquisición y puesta en marcha de nuevos dispositivos o soluciones. Se recomienda la existencia de una metodología común para la identificación y la
Continuidad del Negocio
Recuperación de Datos
Adquisición e Implementación
de Servicios
Proceso de Mejora
Continua
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
164
evaluación de las soluciones de TI, correctamente documentada y comunicada al
resto de la organización.
Proceso de Mejora Continua: El proceso de mejora continua debe ser trasversal
a todas las áreas de la compañía. Se deben identificar nuevas oportunidades de uso de la tecnología para ganar una ventaja competitiva, ejercer influencia en la
re-ingeniería de los procesos de negocio e intentar mejorar la eficiencia. Las buenas prácticas recomiendan la existencia de un proceso de mejora continua
que se actualice periódicamente y cuyos resultados sean escalados a la dirección para apoyar e impulsar las posibles iniciativas y/o mejoras propuestas.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
165 165
3.4 ANÁLISIS FINAL DEL PROYECTO (CLOUD COMPUTING & BYOD)
En este apartado se puede observar una comparativa entre los planes de auditoría para
auditorías de entornos Cloud Computing y Bring Your Own Device, con el objetivo de
observar, globalmente, qué puntos fuertes y débiles tiene el proyecto y cuáles pueden
ser los posibles motivos de los mismos.
Para que las secciones de este punto sean más fácilmente entendibles, se dividirá en
cinco sub-apartados, uno para cada estándar analizado.
3.4.1 COBIT 4.1
El primer punto en común entre ambos se produce al observar la visión general del
estándar, dado que ambos planes de auditoría cuentan con que el estándar recoge un
100% de los controles definidos en los dos planes de auditoría. Era de esperar que este
porcentaje fuese tan rotundo para ambos, dado que ambos planes de auditoría se
fundamentan en ISACA, y COBIT es una marca registrada de esta institución.
Tras entrar en detalle al cotejar los porcentajes de dominios del estándar para cada plan
de auditoría, se observa una similitud entre dominios y porcentajes, siendo las
variaciones mínimas. La única diferencia importante radica en la presencia del 12% del
dominio “Adquisición e Implementación” para Cloud Computing frente al 0% de este
mismo dominio en BYOD. Esto se debe a que los planes de auditoría no se centran en la
revisión de nuevas adquisiciones sino en la evaluación de todos los procesos asociados a
TI y Cloud Computing/BYOD que ya se encuentran implementados.
Por otro lado, es llamativo que en ambos casos, el dominio “Entrega y Soporte”, que
abarca un 50% y un 53% para Cloud Computing y BYOD respectivamente. Con esto, se
puede percibir que ambos planes de auditoría están enfocados especialmente en la
gestión de la configuración y del servicio, seguridad de los sistemas y formación.
3.4.2 ITIL v3
Al analizar la visión general del estándar, se observa que el estándar recoge un elevado
número de controles de los planes de auditoría desarrollados. No obstante, los
porcentajes varían: un 96% de controles contenidos por ITIL para auditorías en entornos
Cloud Computing frente a un 73% para entornos BYOD. Es lógico que no se hablen de
porcentajes tan absolutos como en el caso de COBIT; puesto que, al ser ITIL una marca
registrada de la OGC23 en el Reino Unido y otros países, no tiene una relación directa con
ISACA. Mientras que COBIT sí la tiene al ser una marca registrada de ISACA (recordemos
que nuestros planes de auditoría están basados en esta entidad). Sin embargo, la
diferencia entre los porcentajes obtenidos por ITIL, frente a los obtenidos por COBIT, no
23
Oficina Gubernamental de Comercio
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
166
es tan significativa, ya que ambos estándares han sido definidos basándose en unos
principios comunes
Al comparar los porcentajes de dominios del estándar para cada plan de auditoría, se
advierte una analogía entre dominios y porcentajes, al igual que sucedió con COBIT; sin
embargo, en este caso las variaciones son ligeramente mayores. Se observa una
diferencia interesante que consiste en que el segundo de los cinco dominios de ITIL, para
Cloud Computing es el dominio de “Diseño del Servicio” y su tercero es “Transición del
Servicio”; mientras que para BYOD estos controles están intercambiados entre sí. No es
extraño que, debido a las dimensiones de las infraestructuras Cloud Computing, el
número de controles del dominio “Diseño del Servicio” sea superior que en un entorno
BYOD.
3.4.3 ISO/IEC 27002:2005
Para el caso de la ISO/IEC 27002:2005, el primer punto destacable es que los dos planes
de auditoría cuentan con que el estándar recoge un 100% de los controles definidos
para los dos planes de auditoría. No es extraño, dado que la ISO es un estándar muy
amplio que abarca muchos más ámbitos que otros estándares.
En este estándar, donde se observa un mayor número de dominios (once), lo primero
que se comprueba es que todos los controles propuestos en nuestros planes de
auditoría abarcan en mayor o menor medida los once dominios propuestos por la ISO.
Esto es una buena noticia, puesto que la ISO debe ser un ejemplo de buenas prácticas y
al cubrir la totalidad de sus dominios, aseguramos que el trabajo realizado posee una
buena base extrapolable a cualquier auditoría para estos entornos.
En cuanto a los porcentajes de dominios del estándar para cada plan de auditoría, se
observa que, entre los dominios de ISO que menos representación tienen para los
planes de auditoría, los cuatro últimos coinciden (en distinto orden y con distinto
porcentaje). Estos cuatro dominios son: “Política de seguridad”, “Gestión de activos”,
“Seguridad física y del entorno” y “Gestión de la continuidad del negocio”. Que la
representación sea baja o menor que otros dominios, no implica que no se esté
revisando ese dominio de control sino que el número de controles asociados es menor
que en otras área. De hecho, en los puntos 3.2.1.3 y 3.3.1.3 , ya se mostró como todos
los dominios de la norma ISO se encuentran reflejados en los planes de auditoría.
Por otra parte, dos de los cuatro dominios predominantes en ambos planes de auditoría
coinciden. El primero de ellos es, a su vez, el que dominio con mayor porcentaje para
Cloud Computing (22%) y el segundo mayor para BYOD (con casi un cuarto del
porcentaje total para ambos casos (24%)); este dominio es el de “Gestión de
comunicaciones y operaciones”. Si revisamos este dominio en la norma ISO, podemos
apreciar cómo se trata del dominio más extenso de la misma, lo que explica la alta
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
167 167
cantidad de controles asociados al mismo. Algunas de los elementos más que se revisan
son: responsabilidades y procedimientos de operación, gestión de servicios de terceros,
gestión y aceptación de sistemas (características), protección contra código malicioso,
gestión de seguridad en redes, soportes de la información (dispositivos extraíbles),
intercambio de información, comercio electrónico y auditoría. El otro dominio común,
“Aspectos Organizativos de la Seguridad de la Información”, ocupa el tercer puesto tanto
para Cloud Computing como para BYOD. Este dominio hace a la coordinación y gestión
de la Seguridad de la Información, el papel de la dirección en ella, las responsabilidades,
los procesos de autorización, los acuerdos de confidencialidad y los contactos con
terceros.
3.4.4 NIST: Recommended Security Controls for Federal Information Systems and
Organizations
En este estándar, la primera diferenciación surge de la cantidad de controles que recoge
NIST para los dos planes de auditoría. En el caso de Cloud Computing, se recoge el 100%
de los mismos, pero para BYOD se recoge el 81% de ellos. Es lógico que, siendo NIST un
estándar menos relevante que ISO, no se recojan todos los controles en su estándar. El
motivo de que el número sea menor para BYOD puede ser porque el número de
controles establecidos para poder desarrollar correctamente el plan de auditoría de
Cloud Computing son casi el doble que los necesarios para BYOD, lo que nos conduce a
pensar que las dimensiones que un entorno Cloud Computing puede alcanzar, son
superiores a las de un entorno BYOD, por lo que se hace necesario ampliar el número de
controles para cubrir en la auditoría la totalidad del entorno.
En cuanto a la visión por dominios de control, llama la atención que el plan de auditoría
para Cloud Computing tenga cubiertos todos los dominios de NIST, mientras que para
BYOD se muestran dos dominios con un 0%. Estos dominios son “Planes de
Contingencia”, “Adquisición de sistemas y Servicios” y “Respuesta a incidentes”. El
motivo de este resultado, es que el plan de auditoría BYOD está centralizado en la
revisión de la gestión y securización de los dispositivos BYOD y el software necesario
para la administración de los mismos (estrategias, gestión de la configuración,
monitorización y control de acceso), sin entrar en demasiados detalles en cuanto a la
infraestructura y sistemas que sustentan dichos dispositivos.
En lo relacionado a los dominios del estándar con menos representación para cada plan
de auditoría, se advierte que, de los dominios de NIST con un porcentaje menor para
ambos planes de auditoría, uno de ellos coincide en ambos grupos. Este dominio es el de
“Protección de Medios”. Hace referencia a la protección física de la información, el
etiquetado, los procesos de cifrado, el transporte físico de dispositivos y los procesos de
formateo de sistemas reutilizables.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
168
Desde otra perspectiva, coinciden dos de los cuatro dominios mayoritarios para cada
plan de auditoría. Se trata de los dominios de “Control de acceso” y “Auditoría”. El
primero de estos dominios ya fue clasificado como uno de los predominantes en el plan
de auditoría BYOD (véase punto 3.3.3).
3.4.5 SANS: 20 Critical Security Controls
En este último estándar, la primera similitud surge de la cantidad de controles que
recoge SANS para los dos planes de auditoría. En el caso de Cloud Computing, se recoge
el 60% de los mismos y para BYOD se recoge el 62% de ellos. Como se ve, la proporción
de controles recogidos es casi idéntica. Sin embargo, en un primer momento, pueden
parecer porcentajes muy bajos en comparación con los otros estándares. El motivo de
estos porcentajes obedece a que los 20 controles propuestos son genéricos para el
ámbito de la seguridad. Mientras que los anteriores se desglosan en otros más
específicos.
Relacionado con los dominios de control, es curioso que en este caso particular no
existan coincidencias ni para los controles con mayores porcentajes ni para los más
bajos. Es fácil que este caso se dé, como se ha comentado en los puntos anteriores,
debido al carácter generalista de estos controles impiden establecer una relación entre
los planes de auditoría y apenas entre las propias áreas de dominios de los planes de
auditoría desarrollados.
169
CAPÍTULO IV: CONCLUSIONES
4. RESUMEN DEL TRABAJO REALIZADO
A lo largo del presente proyecto, se han tratado de manera amplia y detallada dos
tecnologías vanguardistas que actualmente se encuentran en pleno desarrollo y cuya
importancia dentro de las organizaciones se hace cada vez más relevante: Cloud
Computing y Bring Your Own Device (BYOD).
El proyecto comienza planteando un modelo de control donde la auditoría interna
adquiere especial relevancia. Este modelo es conocido bajo el nombre de “las tres líneas
de defensa” y se recoge en directivas internacionales tales como Solvencia II24. A
continuación, se muestran de manera genérica los principales marcos de referencia y
estándares de los Sistemas de la Información bajo los cuales las organizaciones
establecen sus modelos de gobierno de TI. Seguidamente, se abordan las
particularidades de Cloud Computing y BYOD profundizando en la identificación y
clasificación de los riesgos que ambos entornos implican. La clasificación del riesgo se ha
realizado siguiendo la norma ISO/IEC 27005:2008 y nos permite ampliar los planes de
auditoría relacionando cada una de las áreas de control con el riesgo que tratan de
mitigar. La sección 4, Planteamiento y Solución, cubre el objetivo principal del proyecto
que es presentar al lector:
Un plan de auditoría completo para auditar entornos Cloud Computing.
(véase punto 3.1.2.1.1)
Un plan de auditoría completo para auditar entornos Bring Your Own Device.
(véase punto 3.1.2.2.1)
Estos planes de auditoría se han realizado tomando como base la información que ISACA
publica en sus documentos “Cloud Computing Management Audit/Assurance Program”
[2] y “Bring Your Own Device (BYOD) Security Audit/Assurance Program” [3]. Han sido
modificados y adaptados en base a los conocimientos y experiencia de los autores del
proyecto y se han ampliado mapeando cada uno de los controles con los principales
estándares y marcos de referencia internacionales de seguridad y gobierno de TI.
Además, cada uno de los marcos de referencia analizados ha sido dividido en dominios
para analizar las áreas principales sobre las cuales actúan los controles desarrollados.
Esto permite dar al auditor una visión concreta de qué es exactamente lo se está
revisando y cómo se podría mejorar el proceso de auditoría. El auditor debe ser capaz de
adaptar estos planes al entorno y las tecnologías presentes en la empresa objeto de la
24
Solvencia II directiva de seguros Europea que pretende que las entidades aseguradoras mantengan un volumen total de provisiones técnicas y un capital de solvencia que garantice su estabilidad ante fluctuaciones externas adversas.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
170
auditoría. Se han incluido una serie de recomendaciones y buenas prácticas para ayudar
a los equipos auditores a realizar el proceso de auditoría de manera eficaz. No obstante,
cada entidad tiene sus propias metodologías de trabajo, por lo que el grado de
aplicabilidad de estas recomendaciones puede variar dependiendo del entorno en el
cual se lleve a cabo el trabajo de auditoría.
171 171
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
4.1 CONCLUSIONES FINALES DEL PROYECTO
En el presente proyecto se presentan dos planes de auditoría y buenas prácticas para
abordar con garantías y de manera eficaz sendos procesos de auditoría sobre entornos
Cloud Computing y Bring Your Own Device.
Los planes de auditoría desarrollados relacionan cada punto de control con los
principales estándares de Sistemas de la Información , aportando al auditor la capacidad
de consultar rápidamente la información que dichos estándares contienen acerca de
cada uno de los puntos de control. Cabe resaltar, que en auditorías reales, el proceso de
localizar el control exacto en el cual se encuentra la información necesaria no es
inmediato, pues se trata de estándares con un contenido denso y muy extenso. Es por
ello que este trabajo facilita notablemente la labor del auditor, mapeando cada control
con un total de cinco marcos de referencia.
Observando el análisis presentado en los puntos 3.2.1 y 3.3.1, se podría inducir a pensar
al lector, en la posibilidad de usar únicamente un marco como COBIT o la norma ISO ya
que éstos cubren la totalidad de los controles presentados. Sin embargo, es importante
indicar, que los estándares empleados son compatibles y toda la información es
complementaria. Una de las principales ventajas del trabajo realizado reside en la
universalidad de los planes de auditoría presentados desde el punto de vista de su
aplicabilidad sobre cualquier entorno corporativo.
Desde la perspectiva de la dirección de un departamento de seguridad o sistemas, el
desglose del análisis por dominios de control presentado en los puntos 3.2.2 y 3.3.2,
permite identificar el nivel de control que el proceso de auditoría aporta sobre cada
dominio. Dependiendo de la naturaleza y el entorno corporativo sobre el cual se realice
la auditoría, podría darse el caso de que desde la dirección de estos departamentos se
quiera reforzar el control sobre alguno de los dominios contemplados, reduciendo así los
riesgos existentes y con ellos las connotaciones negativas del impacto que la
materialización de los mismos pudiera tener.
Todos los puntos mencionados anteriormente, constituyen un conjunto de beneficios a
favor de la aplicación de los planes de auditoría presentados en un entorno corporativo
real. A continuación se enumeran dichas ventajas:
1. Identificación detallada de los riesgos asociados a entornos Cloud Computing y
Bring Your Own Device.
2. Mapeo de los controles definidos con estándares Internacionales de Sistemas de
la Información.
3. Adaptabilidad y aplicabilidad sobre cualquier entorno corporativo real.
4. Simplificación del proceso de auditoría frente a la complejidad de los entornos
presentados y la densidad de la información de los marcos de referencia.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
172
5. Visión global del riesgo y su criticidad para la dirección de departamentos de
sistemas y/o seguridad de la información.
6. Identificación rápida de los puntos fuertes y débiles de control.
173 173
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
4.2 DESCRIPCIÓN OBJETIVOS
Una vez presentados los planes de auditoría para los entornos Cloud Computing y BYOD
es necesario revisar si el desarrollo del proyecto cumple con los objetivos que se
definieron en el apartado 1.2 “Objetivos Principales del Proyecto”.
Se ha investigado y recopilado las diferentes soluciones disponibles para los entornos de
Cloud Computing y BYOD, plasmando la situación actual de los mismos desde el punto
de vista de la seguridad y el riesgo que conlleva su implementación para las
organizaciones. Se han identificado los riesgos existentes en estas tecnologías,
cumpliendo de esta forma el primero de los objetivos “Mostrar cuál es la situación
actual en cuanto a entornos Cloud Computing y BYOD desde un punto de vista de la
seguridad y el riesgo”.
Una vez definidos los riesgos para Cloud Computing y BYOD, se ha procedido a su
valoración siguiendo la norma ISO 27005:2008 en función de la probabilidad de
aparición y el impacto que tendrían en caso de ocurrencia, obteniendo finalmente una
valoración de los cada uno de los riesgos descritos, de tal forma que el segundo de los
objetivos “Analizar los principales riesgos de Cloud Computing y BYOD” queda cubierto.
Dos planes de auditoría han sido definidos, uno para Cloud Computing y otro para BYOD.
Han sido contrastados con estándares y marcos de referencia de los Sistemas de la
Información reconocidos internacionalmente, tales como: COBIT 4.1, ITIL v3, ISO/IEC
27002:2005, NIST: Recommended Security Controls for Federal Information Systems and
Organizations (SP 800-53 Revisión 3) y SANS: 20 Critical Security Controls, valorando
cómo se relacionan los planes de auditoría desarrollados con los controles y dominios de
los estándares mencionados, cumpliendo el tercero de los objetivos “Realizar un plan de
auditoría que permita abordar de manera clara y concisa auditorías de entornos Cloud
Computing y BYOD”.
Este análisis nos aporta una idea del nivel de control y seguridad que abarcan estos
planes y la efectividad que pudieran llegar a tener en caso de ser implementados en un
entorno corporativo.
Por tanto, podemos concluir que se han alcanzado de manera exitosa todos y cada uno
de los objetivos propuestos inicialmente.
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
174
4.3 FUTURAS LÍNEAS DE DESARROLLO
Para la descripción de las futuras líneas de desarrollo, se han resaltado aquellas áreas
que dentro de las tecnologías tratadas, presentan una alta proyección de desarrollo, ya
sea por una necesidad o bien por una posible tendencia. Adicionalmente, se muestra
como la metodología expuesta a lo largo del trabajo podría ser aplicable a otro tipo de
auditorías informáticas
Las futuras líneas de desarrollo que se han identificado han sido las siguientes:
1. Cloud Computing: Estandarización e integración tecnológica.
Los entornos Cloud Computing todavía encuentran algunas limitaciones en relación a
la estandarización de las plataformas de los proveedores que dificultan en gran
medida los procesos de migración de datos y aplicaciones y la integración con otros
subsistemas de negocio que se requieran mantener en modo tradicional en una
compañía. Adicionalmente, un cliente cloud puede tener distribuidas sus
aplicaciones en diversos proveedores y requiere para su negocio que todas ellas se
integren y sincronicen en la implementación de procesos. La industria cloud tiene un
importante reto en el desarrollo de estándares y de un marco de interoperabilidad
efectivo (véase Estudio Cloud Computing. Retos y Oportunidades [28]).
2. Bring Your Own Device: Bring Your Own Application.
Si nos fijamos en las predicciones que Gartner establece para el año 201725 [29],
observamos como emerge un nuevo concepto muy ligado a BYOD, Bring Your Own
Applicaction (BYOA). Según Gartner, en el año 2017, un 25% de las empresas
dispondrán de una “App Store” corporativa para la gestión del software en
ordenadores y dispositivos móviles. La consultora tecnológica identifica tres ventajas
principales derivadas del uso de esta nueva tendencia:
Aumentar el control sobre las aplicaciones que usan los empleados.
Aumentar el control sobre los gastos de Software.
Mayor poder de negociación con los proveedores de Software.
3. Transposición de metodología del proyecto a otros tipos de auditorías
informáticas.
A continuación, se muestran gráficamente algunos tipos de auditorías informáticas
(incluidos BYOD y Cloud Computing) para las cuales se podrían realizar planes de
auditoría similares a los ya planteados en este proyecto, siguiendo una metodología
similar (estudio de la situación actual, análisis y clasificación de riesgos, desarrollo de
planes de auditoría para los entornos seleccionados, análisis de resultados):
25
http://www.gartner.com/newsroom/id/2334015
175 175
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
Imagen 37: Tipos de Auditorías Informáticas
La imagen muestra algunas tipologías de auditorías que en la actualidad se realizan en
un departamento de Auditoría Informática. En muchos casos, este servicio se encuentra
subcontratado con terceras empresas, pero debido a la gran cantidad de trabajos
existentes y la criticidad de los mismos, cada vez son más las entidades que deciden
invertir en la creación de un departamento interno para auditar su propia informática.
Cabe resaltar que la existencia de un departamento de estas características debería de
ser independiente al departamento de Seguridad Informática de la entidad. La razón es
la misma que se explicó en el apartado 2.1.3 donde se habló de la importancia de la
objetividad que debe aportar una auditoría.
Con independencia de si la auditoría es externa o interna, lo que es una realidad es el
crecimiento de las competencias de una profesión que va ligada a la evolución, cada vez
mayor y más rápida, de las nuevas tecnologías. Es por ello que, no nos gustaría terminar
el proyecto sin antes animar al lector a profundizar en todos aquellos temas
relacionados con la auditoría informática.
177
BIBLIOGRAFÍA
[1] Forrester Consulting, “Key Strategies To Capture And MeasureThe Value Of Consumerization Of IT.” .
[2] Isaca, IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. Isaca, 2011.
[3] Norm Kelson and Jeff Kalwerisky, “Bring Your Own Device (BYOD) Security AuditAssurance Program.docx.” ISACA.
[4] “IIA Position Paper_the three lines of defense in effective risk management and control.pdf.” .
[5] Khushbu Pratap, “Best Practices for Creating an IT Internal Audit.pdf.” Gartner. [6] Khushbu Pratap, “IT Audit Standards, Frameworks, and Guidelines for Auditees and
Auditors.” . [7] NIST, “Visual Model Of NIST Working Definition Of Cloud Computing.” [Online].
Available: http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html. [8] Catteddu, D. and Hogben, G., “Cloud Computing - Benefits, risks and
recommendations for information security,” ENISA, Nov. 2009. [9] C. S. Alliance, Ed., Security Guidance for Critical Areas of Focus in Cloud Computing.
Cloud Security Alliance, 2009.
[10] Bohn, Robert B., Messina, John, Mao, Jian, Tong, Jin, and Liu, Fang, “NIST Cloud Computing Reference Architecture.” IEEE Computer Society, 2011.
[11] Joint Task Force Transformation Initiative, “Recommended Security Controls for Federal Information Systems and Organizations,” National Institute of Standards &
Technology, 2009. [12] A. Scarfo, “New Security Perspectives around BYOD,” in Broadband, Wireless
Computing, Communication and Applications (BWCCA), 2012 Seventh International Conference on, 2012, pp. 446–451.
[13] K. W. Miller, J. Voas, and G. F. Hurlburt, “BYOD: Security and Privacy Considerations,” IT Professional, vol. 14, no. 5, pp. 53–55, 2012.
[14] “Cisco Study: IT Saying Yes To BYOD.” 16-May-2012. [15] Z. Hallock, J. Johnston, F. Macías, and R. Saville, “Cisco Bring Your Own Device
(BYOD) Smart Solution Design Guide.” 20-Dec-2012. [16] “Cisco - BYOD Smart Solution.” [Online]. Available:
http://www.cisco.com/web/solutions/trends/byod_smart_solution/indepth.html. [17] Gartner, “Mobile Device Policy and Procedures for Personally Owned Devices:
BYOD Program.” 2012.
[18] IseC Ltd., ISO27k Model Policy on BYOD security. 2012. [19] “Aruba Certified Solutions Professional (ACSP).” .
[20] “Aruba Networks - BYOD Solution (ClearPass).” . [21] “Bring Your Own Device (BYOD) Cisco Training.” .
[22] “Consumerization of IT - Top Risks and Opportunities.pdf.” ENISA. [23] I. G. Institute, Cobit 4.1. ISA, 2007.
[24] “Official ITIL® Website.” . [25] “ISO/IEC 27002:2005 - Information technology – Security techniques – Code of
practice for information security management.”
178
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
[26] NIST Special Publication 800-53 Revision 3 Recommended Security Controls for
Federal Information Systems and Organizations JOINT TASK FORCE TRANSFORMATION INITIATIVE. 2009.
[27] SANS: 20 Critical Security Controls. . [28] Miniterio de Industria, Energía y Turismo, “Estudio Cloud Computing Retos y
Oportunidades.” . [29] “Gartner Says That by 2017, 25 Percent of Enterprises Will Have an Enterprise
App Store.”
179
GLOSARIO DE TÉRMINOS
Active Directory: es el servicio de directorio de una red distribuida que permite mantener un
conjunto de objetos relacionados, como usuarios, grupos de usuarios, permisos, etc.
Acuerdo de Nivel de Servicio (ANS): contrato escrito entre un proveedor de servicio y su cliente
con objeto de fijar el nivel acordado para la calidad de dicho servicio. También es conocido por
sus siglas en inglés Service Level Agreement (SLA).
Antivirus: Aplicación para detectar la presencia de virus y puede neutralizar sus efectos.
Ataque: Método por el que se intenta tomar el control, desestabilizar o dañar un sistema.
Auditoría: Proceso que consiste en recoger, agrupar y evaluar evidencias para determinar si un
proceso sigue los procedimientos establecidos.
Externa: La auditoría es llevada a cabo por una empresa externa.
Interna: La auditoría es llevada por el personal de la propia empresa.
Balanceo de Carga: Es la técnica usada para compartir el trabajo a realizar entre diferentes
recursos.
Informe Borrador: Informe de auditoría previo al informe definitivo.
Brecha de Seguridad: Fallo de seguridad en la que una vulnerabilidad puede ser explotada.
Bring Your Own Application (BYOA): Política empresarial que hace referencia a la utilización de
las aplicaciones de terceros por parte de los empleados en el ámbito laboral.
Bring Your Own Device (BYOD): Política empresarial que hace referencia a la utilización de
dispositivos móviles personales por parte de los empleados en el ámbito laboral.
Ciclo de Vida: Sucesión de estados o fases por los que una aplicación pasa a lo largo de su “vida”.
Cloud Computing: Modelo de negocio orientado a la prestación de servicios informáticos a
través de internet.
Control: Proceso que sirve para guiar la gestión empresarial hacia los objetivos de la
organización y un instrumento para evaluarla.
Centro de Proceso de Datos (CPD): Ubicación donde se concentran recursos hardware
necesarios para el procesamiento de información de una organización, equipadas con
mecanismos de control.
Cloud Service Provider (CSP): Empresa que proporciona un servicio de Cloud. En español se
conoce como Proveedor de Servicios de Cloud.
180
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
Consumerización: Tendencia creciente que hace referencia a la propagación de nuevas
tecnologías de la información surgidas en el mercado de consumo a las empresas y
organizaciones gubernamentales.
Departamento: Unidad o parte singular de una organización mayor (empresa).
DLP: Data Loss Protection, protección para la pérdida de datos.
DNS: Domain Name System, sistema de nombres de dominio.
EPS: Endpoint Protection Service, Servicios de Protection Finales
Enterprise Risk Management (ERM): Control de riesgos empresariales.
Estándar: Modelo o patrón de referencia.
Estrategia: conjunto de acciones planificadas sistemáticamente en el tiempo que se llevan a
cabo para lograr un determinado fin o misión.
Evento: Suceso que ocurre en un sistema.
Gestión de Evento/s: Proceso en el que se definen las acciones que se deben tomar ante
determinados sucesos.
IDS: Sistema de Detección de Intrusos.
Informe de auditoría: Documento de comunicación formal mediante el cual el auditor detalla al
cliente el alcance, los resultados y las conclusiones de la auditoría.
Ingeniería social: Práctica para obtener información confidencial a través de la manipulación de
usuarios legítimos.
Direccion IP: Dirección lógica asignada a una interfaz de un equipo dentro de una red de datos
que implementa protocolo IP.
IPS: Sistema de Prevención de Intrusos.
ITGI: Information Technology Governance Institute.
Licencia: Contrato para utilizar una aplicación o sistema cumpliendo una serie de términos y
condiciones establecidas dentro de sus cláusulas.
Línea de defensa: Área de control del riesgo.
Log: Registro de eventos durante un rango de tiempo determinado.
LOPD: Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
Marco de Referencia: Es un conjunto de convenciones usadas para poder comparar sistemas o
aplicaciones.
Marco de Referencia y Buenas Prácticas para Auditorías de Entornos Tecnológicos de Vanguardia
181 181
Metodología: Conjunto de métodos que se siguen en una investigación científica o en una
exposición doctrinal.
Migración: Proceso consistente en hacer que los datos y las aplicaciones existentes funcionen en
un ordenador, software o sistema operativo distinto.
Modelo Computación: modo que los usuarios puedan acceder a los servicios disponibles.
IaaS: Infrastructure as a Service, modelo de computación en la nube en la que se ofrece
la infraestructura como servicio.
PaaS: Platform as a Service, modelo de computación en la nube en la que se ofrece una
serie de módulos como servicio.
SaaS: Software as a Service, modelo de computación en la nube en la que se ofrece un
software como servicio.
Objetivo: Fin a que se dirigen las acciones o deseos de alguien.
Open Geospatial Consortium (OGC): Consorcio Internacional de Industrias formado por
compañías, agencias gubernamentales y universidades.
Órgano de Gobierno: Máximo órgano de una organización o corporación, y de la cual dependen
todos sus miembros o departamentos.
Plan de acción: Medida que detalla qué acciones se llevarán a cabo para reducir o eliminar el
riesgo identificado en un hecho observado.
Política: Orientaciones o directrices que rigen la actuación de una persona o entidad en un
asunto o campo determinado.
Riesgo: Contingencia o proximidad de un daño.
Dirección de Riesgo: Departamento/s o persona/s encargas de determinar las acciones
que se deben seguir en la gestión de riesgos.
Gestión de Riesgo: Método o acciones para reducir o asumir los riesgos existentes.
Informe de Riesgo: Documento o documentos en los que se describen los riesgos
existentes.
Nivel de Riesgo: Valoración cuantitativa que identifica la probabilidad de ocurrencia y el
impacto asociado a la materialización del riesgo.
Rol: función que alguien o algo cumple.
Sistema SIEM: Sistema para Gestión de la Seguridad de la Información y Gestión de Eventos.
SSL: Secure Sockets Layer (capa de conexión segura) protocolo criptográfico que proporciona
comunicaciones seguras por una red.
TI: Tecnología de la Información.
TIC: Tecnología de la Información y Comunicación.
182
Máster Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones
TLS: Transport Layer Security, (seguridad de la capa de transporte) protocolo criptográfico que
proporciona comunicaciones seguras por una red.
VPN: Virtual Private Network, red privada virtual.
Vulnerabilidad: Capacidad de un sistema para hacer frente y resistir ataques o fallos.
WAN: Wide Area Network, red de computadores que abarca varias ubicaciones físicas.