Auditoria de la Seguridad

1
Auditoria de la Seguridad

• Cr. Luis Elissondo

2
Seguridad y Auditoria
Seguridad
Auditoría
Auditoría De la Seguridad
3
Con que tipo de controles puedo contar?

• Controles Directivos
• Controles Detectivos
• Controles Preventivos
• Controles Recuperación

4
Que son las Politicas de Seguridad Informática?

• Una política de seguridad informática es una
  forma de comunicarse con losusuarios y los
  gerentes. Las PSI establecen el canal formal de
  actuacióndel personal, en relación con los
  recursos y servicios informáticos, importantes de
  la organización.
• No se trata de una descripción técnica de
  mecanismos de seguridad, ni de una expresión
  legal que involucre sanciones a conductas de los
  empleados. Es más bien una descripción de los que
  deseamos proteger y el por qué de ello.
• Cada PSI es consciente y vigilante del personal
  por el uso y limitaciones de los recursos y
  servicios informáticos críticos de la compañía.

5
Elementos que debe contener una política de Seg.
Inf.

• Alcance de las políticas, incluyendo
  facilidades, sistemas y personal sobre la cual
  aplica. Es una invitación de la organización a
  cada uno de sus miembros a reconocer la
  información como uno de sus principales activos
  así como, un motor de intercambio y desarrollo en
  el ámbito de sus negocios.
• Objetivos de la política y descripción clara de
  los elementos involucrados en su definición.
• Responsabilidades por cada uno de los servicios
  y recursos informáticos a todos los niveles de la
  organización.
• Requerimientos mínimos para configuración de la
  seguridad de los sistemas que cobija el alcance
  de la política.
• Definición de violaciones y de las consecuencias
  del no cumplimiento de la política.
• Responsabilidades de los usuarios con respecto a
  la información a la que ella tiene acceso.

6
Ejemplo de una Politica

• Todos los usuarios deben estar adecuadamente
  registrados y acceder solo a los recursos que le
  fueron asignados.

7
Ejemplo de un Procedimiento

• Procedimiento de alta de cuenta de usuario
• Cuando un elemento de la organización requiere
  una cuenta de operación en el sistema, debe
  llenar un formulario que contenga, al menos los
  siguientes datos
• Nombre y Apellido
• Puesto de trabajo
• Jefe inmediato superior que avale el pedido
• Descripción de los trabajos que debe realizar
  en el sistema
• Explicaciones breves, pero claras de cómo
  elegir su password.
• Asimismo, este formulario debe tener otros
  elementos que conciernen a la parte
• de ejecución del área encargada de dar de alta la
  cuenta, datos como
• Tipo de cuenta
• Fecha de caducidad
• Fecha de expiración
• Datos referentes a los permisos de acceso (por
  ejemplo, tipos de
• permisos a los diferentes directorios y/o
  archivos)
• Si tiene o no restricciones horarias para el uso
  de algunos recursos y/o para el
• ingreso al sistema.

8
Diagrama para analizar un programa se seguridad
9
Riesgos

• No continuidad del Negocio
• el acceso indebido a los datos (a veces a través
  de redes),
• la cesión no autorizada de soportes magnéticos
  con información crítica (algunos dicen
  "sensible"),
• los daños por fuego, por agua (del exterior como
  puede ser una inundación, opor una tubería
  interior),
• la variación no autorizada de programas, su copia
  indebida, y tantos otros,persiguiendo el propio
  beneficio o causar un daño, a veces por venganza.

10
Niveles de Trabajo

• Confidencialidad
• Integridad
• Autenticidad
• No Repudio
• Disponibilidad de los recursos y de la
  información
• Consistencia
• Control de Acceso
• Auditoría

11
Determinación de los Riesgos

• Qué se necesita proteger
• De quién protegerlo
• Cómo protegerlo

12
Que hacer con los riesgos

• Eliminarlos
• Disminuirlos
• Transferirlos
• Asumir los Riesgos

13
Fases de la Auditoria

• Objetivos , delimitación de alcance y profundidad
  del trabajo.
• Análisis de posibles fuentes y recopilación de
  información.
• Determinación del plan de trabajo y de los
  recursos y plazos en caso necesario, así como de
  comunicación a la entidad.
• Determinación de herramientas o perfiles de
  especialistas necesarios.
• Realización de entrevistas y pruebas.
• Analisis de Riesgos y Resultados
• Discusión del informe Provisional
• Informe Definitivo

14
Auditar la Seguridad Física

• Medidas de Protección Fisica
• Lay Out
• Riesgos posibles
• Controles de detección
• Politicas de Backup y almacenamiento
• Plan de Recuperación

15
Auditoria de la Seguridad Lógica

• Administración de Recursos Humanos
• Politicas de administración de Usuarios.
• Asignación de la contraseña. Longitud, vigencia,
  repetición,etc
• No cesión de clave uso individual

16
Auditoria del Desarrollo de Aplicaciones

• Controles incorporados.
• Prueba de la Aplicación.
• Puesta en Produccion

17
Seguridad en los Datos

• Confidencialidad
• Disponibilidad e Integridad
• Ciclo de vida de los Datos

18
Ciclo de vida de la Información
Eliminación
Generación
Registro
Modificación / Consulta
19
Auditoria de Redes y Comunicaciones

• Conexiones
• Cifrado
• Salidas gateway y routers
• Correo Electrónico
• Páginas WEB
• Firewalls

20
Auditoria de la continuidad de las operaciones

• Plan de Contigencia
• Completitud
• Divulgación
• Actualización
• Plan de Recuperación

21
Fuentes de la Auditoría

• Politicas, estándares, normas y procedimientos.
• Plan de sistemas.
• Planes de seguridad y continuidad
• Contratos, pólizas de seguros.
• Organigrama y manual de funciones.
• Manuales de sistemas.
• Registros
• Entrevistas
• Archivos
• Requerimientos de Usuarios

22
Desarrollo del caso práctico
23
Conclusiones y Preguntas
?
?
?
?
?

• E-mail luiseli_at_rec.unicen.edu.ar