Auditoría y Seguridad de Sistemas de Información Seguridad y Auditoría de la Seguridad Cr. Luis Elissondo

Seguridad en los Sistemas

Que es un SI Sistema de Información EntradaProceso Salida Clientes ProveedoresBancos DGI Accionistas Competidores Almc

Flujo de los Procesos PERSONAS TECNOLOGIA Flujo Trabajo Flujo Información

¿De que hablamos cuando decimos Tecnología Informática? Tecnología Informática (Oferta) – Hardware y Software – Tecnología de Comunicaciones y Base de datos – Metodología para la construcción de aplicaciones. Sistemas de Información (Demanda) – Necesidades de Información – Requermientos del Negocio A P L I C A C I O N E S

Ciclo de vida de la Información Generación Registro Modificación / Consulta Eliminación

Estadísticas Ernst & Young's Global Information Security Survey 2003: * The top three areas of information spending are technology (85 percent), business continuity (60 percent), and process (58 percent). * 67 percent rate as "adequate" their organisations' level of protection of critical business information. * 73 percent rate as "adequate" their ability to identify information system vulnerabilities. * 65 percent rate as "adequate" their ability to determine whether their information systems are under attack.

KPMG Reino Unido 2005 Key findings: Nearly 70% of the companies surveyed have business continuity plans in place. That percentage rises to over 80% in the financial and retails sectors. 27% of organisations have dedicated business continuity personnel. Business continuity management has emerged with a clear identity as a wide ranging management discipline and is no longer synonymous with disaster recovery. Over two-thirds of the companies surveyed do not outsource any of their core business activities. 18% outsource at least some of their IT, which is by far the most common area for outsourcing. However, only 27% of organisations actually involve themselves in helping their suppliers to develop a business continuity management plan and get involved in rehearsals of the plan. Too many companies are vulnerable to a failure in their supply chain. Only 16% of companies have a business continuity strategy with provision for protecting the company’s reputation.

Importancia de la Seguridad

Gasto

Gasto Seguridad

Incidentes Registrados

Vulnerabilidad acarreada por los computadores Concentración de la información Falta de Registros visibles Fraudes sin comprobación Rapidez de Actualización Concentración de funciones Problemas de diseño

Determinación de los Riesgos Qué se necesita proteger De quién protegerlo Cómo protegerlo

Evaluar Riesgos Identificar Origen Medir Continuamente medir el desempeño del proceso con las mejores prácticas a fin de identificar y reducir los riesgos Aceptar Si el riesgo se transfiere Si el riesgo se reduce a un nivel aceptable Continuamente evaluar los riesgos del negocio Inaceptable Rechazar Análisis de Riesgo/ Beneficio Aceptable Continuamente monitorear decisión ¿Existen y funcionan procesos de control de riesgos del negocio? SI NO Diseñar e instalar un proceso de control Al nivel de riesgo existente

Principales Riesgos de TI Falta de alineamiento de los objetivos de TI con los del negocio Incumplimiento con regulaciones locales e internacionales Fraudes a través de los sistemas de información Imposibilidad de adaptarse a los cambios tecnológicos constantes Robo de información confidencial Falta de concientización y conocimiento de los empleados

Como esta la administración de Riesgos de TI % 63% No Si ¿Qué porcentaje de organizaciones poseen un Oficial de Seguridad Informática? % 18% 31% 26% 14% Grado 1 Grado 2 Grado 3 Grado 4 Grado 5 5 = Integrado ¿Qué grado de integración posee el Oficial de Seguridad Informática con el proceso global de administración de riesgos de la organización? % 10% 93% Otro Unidades de negocio Sistemas ¿Qué sector es responsable por la Gestión de la Seguridad Informática? 1 = No integrado NOSI Fuente:

Riesgo de los Proveedores

Estándares ISO (Seguridad Informática) ITIL (Information Technology Infrastructure Library) BS 7799 (Seguridad Informática) COBIT (Control Objectives for Information and related Technology) CMM (Desarrollo de Software) COSO (Committee of Sponsoring Organisations of the Treadway Commission-Internal Control)

Cuanta Seguridad?

Fraude Frecuencia

Factor Humano

Seguridad Que debe cubrir la seguridad (es posible la seguridad absoluta?) Seguridad respecto de la destrucción revelación y procesamiento Privacidad y confidencialidad: que inf. se comparte Integridad

Diagrama para analizar un programa se seguridad

Que debe contemplar una estrategia de seguridad Minimizar la posibilidad de ocurrencia Reducir el perjuicio Establecer métodos de recuperación Lograr un adecuado aprovechamiento de la información.

Que son las Políticas de Seguridad Informática? Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.

Elementos que debe contener una política de Seg. Inf. Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. Definición de violaciones y de las consecuencias del no cumplimiento de la política. Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.

Ejemplo de una Política Todos los usuarios deben estar adecuadamente registrados y acceder solo a los recursos que le fueron asignados.

Ejemplo de un Procedimiento Procedimiento de alta de cuenta de usuario Cuando un elemento de la organización requiere una cuenta de operación en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos:  Nombre y Apellido  Puesto de trabajo  Jefe inmediato superior que avale el pedido  Descripción de los trabajos que debe realizar en el sistema  Explicaciones breves, pero claras de cómo elegir su password. Asimismo, este formulario debe tener otros elementos que conciernen a la parte de ejecución del área encargada de dar de alta la cuenta, datos como:  Tipo de cuenta  Fecha de caducidad  Fecha de expiración  Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos a los diferentes directorios y/o archivos) Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema.

Seguridad: ámbitos de acción Seguridad física: abarca al hardware utilizado en la organización. Seguridad lógica: comprende la protección de acceso a los programas

Seguridad física Riesgo de incendio y riesgos naturales Ubicación física (lay out) Protección (sensores, extintores, etc) Almacenamiento de medios magnéticos Estrategias de Backup de equipos y programas.

Seguridad lógica –Controles físicos –Identificación y autentificación de usuarios Bases del proceso: Algo conocido por el usuario Algo que el usuario posee Algo que el usuario es –Definición del perfil de usuario –Administración de usuarios y claves

Claves Reutilizables La clave es secreta Tamaño adecuado para su memorización No se debe mostrar por pantalla Almacenada criptográficamente Debe ser periódicamente actualizada Se debe evitar la repetición de claves en la actualización.

Rutas hacia el objetivo Factor amenaza $ Networks/Internet Business Process Supporting Technologies Personnel Communications Systems Security Imitación de IP Método de ataque Punto de ataque Medida correctiva de seguridad Sistema objeto Firewall Procedimientos Procedimientos de seguridad Ataque por discado Dial- back SocialPolítica ExploraciónEncripció n Detección de contraseñas Señales

Plan de Contingencias

Plan de Contingencia Plan de Contingencia del Negocio Plan de Contingencia Tecnológica

Diferencia Plan de Contingencia Tecnológico Plan de Contingencia del Negocio Riesgo TecnologíaNegocio

Porque es necesario un Plan de Contingencia? Estadísticas Impacto Ejemplos Un problema cultural?

Desarrollo de Planes de Continuidad del Negocio Definición del Proyecto Análisis del impacto en el Negocio Selección de estrategias Desarrollo de planes Pruebas y Mantenimiento

Metod.: Definición del Proyecto Objetivo Alcance Supuesto (Peor de los escenarios)

Metod.: Análisis del Impacto en el Negocio Análisis de riesgo –Operacional –Físico Evaluación del Impacto –Financiero –Intangibles (imagen, reputación, legal, salud pública, etc) Identificación de Procesos y Aplicativos Críticos (metodos alternativos) Asignación de RTO´s (Recovery Time Objetives) Evaluación de coberturas de seguros y contratos

Metod.:Selección de Estrategias Identificación de recursos Evaluación de backups RTO´s Solución Interna vs. Externa Ventajas y Desventajas

Metod.: Desarrollo de Planes Planes de Emergencia Plan de Sistemas Planes por Unidad de Negocios

Metod.: Pruebas y Matenimiento Política de Mantenimiento Plan de Pruebas

Seguridad en Pymes Observatorio TIC´s Univ La Plata 2005

Auditoría de la Seguridad

Seguridad y Auditoría SeguridadAuditoría De la Seguridad

Fases de la Auditoría Objetivos, delimitación de alcance y profundidad del trabajo. Análisis de posibles fuentes y recopilación de información. Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad. Determinación de herramientas o perfiles de especialistas necesarios. Realización de entrevistas y pruebas. Análisis de Riesgos y Resultados Discusión del informe Provisional Informe Definitivo

Auditar la Seguridad Física Medidas de Protección Física Lay Out Riesgos posibles Controles de detección Políticas de Backup y almacenamiento Plan de Recuperación

Auditoría de la Seguridad Lógica Administración de Recursos Humanos Políticas de administración de Usuarios. Asignación de la contraseña. Longitud, vigencia, repetición,etc No cesión de clave – uso individual

Auditoría del Desarrollo de Aplicaciones Controles incorporados. Prueba de la Aplicación. Puesta en Producción

Auditoria de Redes y Comunicaciones Conexiones Cifrado Salidas gateway y routers Correo Electrónico Páginas WEB Firewalls

Auditoria de la continuidad de las operaciones Plan de Contingencia Completitud Divulgación Actualización

Fuentes de la Auditoría Políticas, estándares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, pólizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios

? ? ? ? ? Conclusiones y Preguntas