pfc seguridad logica y de accesos y su auditoria

Upload: francisco-javier-munoz-cortes-monroy

Post on 11-Jul-2015

1.527 views

Category:

Documents


0 download

TRANSCRIPT

UNIVERSIDAD CARLOS III DE MADRIDESCUELA POLITCNICA SUPERIOR

SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORAPROYECTO FIN DE CARRERAINGENIERA TCNICA EN INFORMTICA DE GESTIN

Autora: Marta Monte de Paz Director: Miguel ngel Ramos Gonzlez Marzo, 2010

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

-2-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

A mi madre por su amor incondicional y su eterna paciencia. A todas aquellas personas que me han dado nimos durante la realizacin de este proyecto. A mi tutor por la ayuda brindada en estos meses.

-3-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

NDICE DE CONTENIDOSINTRODUCCIN I. LA INFORMACIN 1. 1 Introduccin 1. 2 Marco legal 1. 3 Caractersticas de la informacin 1. 4 Sistemas de Informacin 1. 4. 1 Elementos que conforman un Sistema de Informacin 1. 4. 2 Actividades bsicas de un Sistema de Informacin 1. 4. 3 Tipos de Sistemas de Informacin II. SEGURIDAD 2. 1 Introduccin 2. 2 Bienes a proteger 2. 2. 1 Tipos de ataques a los bienes de la empresa 2. 2. 2 Agentes que pueden causar daos en la organizacin 2. 2. 2. 1 Personas causantes de incidencias 2. 2. 2. 1. 1 Empleados 2. 2. 2. 1. 1. 1 Pautas para evitar daos causados por empleados 2. 2. 2. 1. 2 Terceros 2. 2. 2. 2 Catstrofes 2. 3 Anlisis de riesgos 2. 3. 1 Etapas del anlisis de riesgos 2. 3. 2 Decidir quin debe realizar el anlisis de riesgos 2. 4 Anlisis de impacto 2. 4. 1 Etapas del anlisis de impacto 2. 5 Plan de Contingencias 2. 5. 1 Fases de un Plan de Contingencias 2. 6 Polticas de Seguridad 2. 6. 1 Elementos que conforman una Poltica de Seguridad 2. 7 Mecanismos de Seguridad 2. 7. 1 Mecanismos de prevencin 12 14 15 17 19 20 21 22 23 27 28 30 30 31 32 32 35 36 38 43 45 48 51 51 54 55 58 59 60 60 -4-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 7. 2 Mecanismos de deteccin 2. 7. 3 Mecanismos de recuperacin III. SEGURIDAD LGICA 3. 1 Introduccin 3. 2 Subestados de la seguridad de la informacin 3. 3 Amenazas lgicas 3. 3. 1 Malware 3. 3. 1. 1 Virus 3. 3. 1. 2 Gusanos 3. 3. 1. 3 Troyanos 3. 3. 1. 4 Bombas lgicas 3. 3. 1. 5 Adware 3. 3. 1. 6 Spyware 3. 3. 1. 7 Puertas traseras 3. 3. 1. 8 Programa conejo 3. 3. 1. 9 Rootkit 3. 3. 1. 10 Exploit 3. 3. 1. 11 Cookie 3. 3. 1. 12 Pharming 3. 3. 1. 13 Spam 3. 3. 2 Crimeware 3. 3. 2. 1 Scam 3. 3. 2. 2 Carding 3. 3. 2. 3 Tcnica del salami 3. 3. 3 Ingeniera social 3. 3. 3. 1 Phishing 3. 3. 4 Ataque de denegacin de servicio 3. 3. 5 Ataque de modificacin o dao 3. 3. 5. 1 Data diddling 3. 3. 5. 2 Applets hostiles 3. 3. 5. 3 Ataques ActiveX 3. 3. 5. 4 Borrado de huellas 3. 3. 6 Ataque de suplantacin 3. 3. 6. 1 Spoofing 3. 3. 6. 2 Hijacking

67 68 70 71 72 72 73 74 79 80 82 83 83 84 85 85 86 87 88 89 89 89 90 90 91 92 93 94 94 95 96 96 96 97 98 -5-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

3. 3. 7 Ataque de monitorizacin 3. 3. 7. 1 Sniffing 3. 3. 8 Redes sociales 3. 4 Mtodos de proteccin 3. 4. 1 Antivirus 3. 4. 2 Cortafuegos 3. 4. 3 Copia de seguridad IV. AUDITORA 4. 1 Introduccin 4. 2 reas de una auditora 4. 3 Auditora externa y auditora interna 4. 4 Proceso de una auditora 4. 4. 1 Estudio inicial de la auditora 4. 4. 2 Determinar los recursos necesarios para auditar 4. 4. 3 Elaborar el plan de trabajo 4. 4. 4 Actividades de la auditora 4. 4. 5 Informe Final 4. 4. 6 Carta de introduccin del informe final 4. 5 El auditor 4. 6 Herramientas y tcnicas 4. 7 Controles internos V. CUESTIONARIO 5. 1 Introduccin 5. 2 Aplicacin informtica 5. 3 Manejo de la aplicacin 5. 4 Casos prcticos 5. 4. 1 Caso prctico: Contraseas 5. 4. 2 Caso prctico: Datos personales 5. 4. 3 Caso prctico: Control de acceso lgico 5. 4. 4 Caso prctico: Control de acceso lgico (II) 5. 4. 5 Caso prctico: Poltica de seguridad (I) 5. 4. 6 Caso prctico: Poltica de seguridad (II) 5. 4. 7 Caso prctico: Copias de seguridad (I) 5. 4. 8 Caso prctico: Copias de seguridad (II) 5. 4. 9 Caso prctico: Amenazas lgicas

98 99 99 101 101 103 107 111 112 114 115 117 117 117 119 119 120 122 123 127 130 135 136 137 139 144 144 151 161 162 168 170 175 177 182 -6-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

5. 4. 10 Caso prctico: Programas VI. CONCLUSIONES GLOSARIO DE TRMINOS BIBLIOGRAFA ANEXOS Anexo I. Ley Orgnica 15/1999 Anexo II. Real Decreto 1720/2007 Anexo III. Tablas de Preguntas y Respuestas con sus pesos asignados Anexo IV. Tablas de Preguntas y Respuestas con sus recomendaciones

187 191 194 200 207 209 210 224 240

-7-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

NDICE DE FIGURASI. LA INFORMACIN Figura 1.1 Actividades bsicas de un Sistema de Informacin Figura 1.2 Niveles en la planificacin de una compaa Figura 1.3 Sistemas de Informacin Figura 1.4 Tipos de Sistemas de Informacin II. SEGURIDAD Figura 2.1 Ataques a los recursos de la empresa Figura 2.2 Activos de la organizacin Figura 2.3 Personas causantes de incidentes Figura 2.4 Catstrofes que puede sufrir una entidad Figura 2.5 Conceptos bsicos en el anlisis de riesgos Figura 2.6 Anlisis de riesgos Figura 2.7 Riesgos Figura 2.8 Anlisis de impacto Figura 2.9 Plan de Contingencias Figura 2.10 Mecanismos de seguridad III. SEGURIDAD LGICA Figura 3.1 Virus Figura 3.2 Uso de Proxy Server Figura 3.3 Cortafuegos Figura 3.4 Comparacin de tipos de backups Figura 3.5 Comparacin de backups combinados Figura 3.6 Copias de seguridad IV. AUDITORA Figura 4.1 Auditora externa e interna Figura 4.2 Certificacin profesional de un auditor Figura 4.3 Cubo de COBIT Figura 4.4 Marco de trabajo de COBIT 116 126 133 134 78 105 106 108 108 110 31 40 41 42 43 49 50 53 57 69 22 24 25 26

-8-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

V. CUESTIONARIO Figura 5.1 Ejemplo Pantalla 1 Figura 5.2 Ejemplo Pantalla 2 Figura 5.3 Ejemplo Pantalla 3 Figura 5.4 Ejemplo Pantalla 4 Figura 5.5 Ejemplo Pantalla 5 Figura 5.6 Ejemplo Pantalla 6 Figura 5.7 Contraseas 1 Figura 5.8 Contraseas 2 Figura 5.9 Contraseas 3 Figura 5.10 Contraseas 4 Figura 5.11 Contraseas 5 Figura 5.12 Contraseas 6 Figura 5.13 Contraseas 7 Figura 5.14 Contraseas 8 Figura 5.15 Contraseas 9 Figura 5.16 Contraseas 10 Figura 5.17 Contraseas Recomendaciones Figura 5.18 Datos Personales 1 Figura 5.19 Datos Personales 2 Figura 5.20 Datos Personales 3 Figura 5.21 Datos Personales 4 Figura 5.22 Datos Personales 5 Figura 5.23 Datos Personales 6 Figura 5.24 Datos Personales 7 Figura 5.25 Datos Personales 8 Figura 5.26 Datos Personales 9 Figura 5.27 Datos Personales 10 Figura 5.28 Datos Personales 11 Figura 5.29 Datos Personales 12 Figura 5.30 Datos Personales 13 Figura 5.31 Datos Personales 14 Figura 5.32 Datos Personales 15 Figura 5.33 Datos Personales 16 Figura 5.34 Datos Personales Recomendaciones Figura 5.35 Control de acceso lgico 1 139 140 140 141 142 143 145 145 146 146 147 147 148 148 149 149 150 152 152 153 153 154 154 155 155 156 156 157 157 158 158 159 159 160 161 -9-

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 5.36 Control de acceso lgico Advertencia Figura 5.37 Control de acceso lgico (II) 1 Figura 5.38 Control de acceso lgico (II) 2 Figura 5.39 Control de acceso lgico (II) 3 Figura 5.40 Control de acceso lgico (II) 4 Figura 5.41 Control de acceso lgico (II) 5 Figura 5.42 Control de acceso lgico (II) 6 Figura 5.43 Control de acceso lgico (II) 7 Figura 5.44 Control de acceso lgico (II) 8 Figura 5.45 Control de acceso lgico (II) Recomendaciones Figura 5.46 Poltica de seguridad 1 Figura 5.47 Poltica de seguridad Advertencia Figura 5.48 Poltica de seguridad (II) 1 Figura 5.49 Poltica de seguridad (II) 2 Figura 5.50 Poltica de seguridad (II) 3 Figura 5.51 Poltica de seguridad (II) 4 Figura 5.52 Poltica de seguridad (II) 5 Figura 5.53 Poltica de seguridad (II) 6 Figura 5.54 Poltica de seguridad (II) 7 Figura 5.55 Poltica de seguridad (II) 8 Figura 5.56 Poltica de seguridad (II) Recomendaciones Figura 5.57 Copias de seguridad 1 Figura 5.58 Copias de seguridad Advertencia Figura 5.59 Copias de seguridad (II) 1 Figura 5.60 Copias de seguridad (II) 2 Figura 5.61 Copias de seguridad (II) 3 Figura 5.62 Copias de seguridad (II) 4 Figura 5.63 Copias de seguridad (II) 5 Figura 5.64 Copias de seguridad (II) 6 Figura 5.65 Copias de seguridad (II) 7 Figura 5.66 Copias de seguridad (II) 8 Figura 5.67 Copias de seguridad (II) Recomendaciones Figura 5.68 Amenazas lgicas 1 Figura 5.69 Amenazas lgicas 2 Figura 5.70 Amenazas lgicas 3 Figura 5.71 Amenazas lgicas 4

161 163 163 164 164 165 165 166 166 167 168 169 170 171 171 172 172 173 173 174 174 175 176 177 178 178 179 179 180 180 181 181 183 183 184 184 - 10 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 5.72 Amenazas lgicas 5 Figura 5.73 Amenazas lgicas 6 Figura 5.74 Amenazas lgicas 7 Figura 5.75 Amenazas lgicas Recomendaciones Figura 5.76 Programas 1 Figura 5.77 Programas 2 Figura 5.78 Programas 3 Figura 5.79 Programas 4 Figura 5.80 Programas 5 Figura 5.81 Programas Recomendaciones

185 185 186 186 187 188 188 189 189 190

- 11 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

INTRODUCCIN

- 12 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

El objetivo de este documento es concienciar a las personas, especialmente a las empresas, de la importancia de la seguridad. Invertir tiempo, esfuerzo y dinero en controles de seguridad asegurar en gran medida la continuidad de un negocio. De forma concreta, este proyecto se centra en la seguridad lgica y de accesos. Adems, la realizacin de auditoras permitir reflejar qu aspectos pueden mejorarse en una organizacin. En el primer captulo, titulado Informacin, se expone la importancia de salvaguardar la informacin y las caractersticas que debe contemplar una informacin de calidad. Asimismo, se detalla el uso de sistemas de informacin que facilitan cuantiosamente las actividades en una entidad. En el segundo apartado, dedicado a la seguridad, se pretende sensibilizar al individuo de la importancia de la seguridad en las empresas. Las organizaciones deben conocer los peligros a las que se enfrentan sus activos, planificando qu bienes desean salvaguardar, de qu y de quines, y cmo llevar a cabo esta proteccin. Seguridad Lgica es el ttulo del siguiente captulo que explora las amenazas lgicas que puede sufrir una empresa. Tambin refleja algunos controles que, utilizados de forma correcta, si no eliminan, al menos, minimizan el impacto causado en la compaa. El cuarto captulo est dedicado a la auditora. Realizar auditoras permite identificar los puntos dbiles de una organizacin. En especial, se expone la trascendencia que tienen las auditoras informticas en las organizaciones. En el siguiente apartado, se explica una aplicacin realizada que contiene un cuestionario que podra utilizarse como herramienta en la ayuda de auditora informtica referente a la seguridad lgica y de accesos en las entidades. A continuacin, concurre un breve captulo que expone las conclusiones obtenidas de este escrito. Finalmente, se muestra un glosario de trminos, la bibliografa utilizada y un apartado de Anexos que exponen una serie de artculos de leyes relacionadas con el tema tratado en este documento y unas tablas referentes al cuestionario realizado.

- 13 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

I. LA INFORMACIN

- 14 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

1. 1 Introduccin La informacin es un conjunto de datos dispuestos de manera que nos permitan adquirir cualquier tipo de conocimiento. Asimismo, es uno de los principales activos de las organizaciones, por lo que salvaguardarla es vital para la continuidad del negocio. Vivimos en la sociedad de la informacin y de las telecomunicaciones. La informatizacin de la informacin es necesaria para competir en el mercado e incluso para sobrevivir. Antonio Creus expone en su libro Fiabilidad y seguridad: su aplicacin en procesos industriales que el coste de la seguridad informtica en una empresa se ubica entre el 4% y el 10% del gasto total informtico. Hemos evolucionado cuantiosamente en los ltimos aos, gracias a la llegada de los ordenadores. A da de hoy, manejamos grandes volmenes de informacin que tratamos, en su mayora, de forma automtica. En consecuencia, las personas pueden tener la percepcin de no saber cmo ni dnde se guardan los documentos. La llegada de Internet trajo consigo una revolucin en la sociedad. Ahora es posible encontrar casi cualquier informacin en la red, la mayora de forma gratuita. Internet ha revolucionado nuestra forma de comunicarnos. Incluso la comunicacin entre empleados ha cambiado y, hoy en da, es bastante probable que an encontrndose a pocos metros, los trabajadores de una compaa se comuniquen va e-mail. La red abre puertas al conocimiento pero tambin a posibles peligros de los que se hablar en este documento. Las empresas deben mentalizarse de que la informacin conlleva costos. Estos costos estn vinculados al almacenamiento, produccin y distribucin, adems de a la seguridad y recuperacin de la informacin. Las organizaciones no deben escatimar en protegerla, sobre todo, la informacin de carcter personal. Por otra parte, la informacin debe ser clasificada segn su valor, requerimientos legales y el grado de proteccin requerido. Generalmente la informacin deja de ser sensible despus de un cierto espacio de tiempo, razn por la cual, tampoco se debe realizar una sobre-clasificacin que conlleve gastos superfluos. La informacin es esencial en la toma de decisiones. Cuanta ms calidad tenga la informacin (completa, exacta y a tiempo), mayor probabilidad habr de tomar decisiones acertadas. Manejar de forma adecuada la informacin generada y recibida puede ayudar a lograr una ventaja competitiva en el mercado.

- 15 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Hoy en da, la informacin est expuesta a mltiples riesgos y amenazas. Es primordial, por tanto, asegurar la informacin para el buen funcionamiento de la empresa, involucrando en esta tarea a toda la organizacin, no solo el Departamento de Seguridad. Sin embargo, es un reto complicado concienciar a todos los empleados de la importancia de la informacin pero es una labor que la entidad ha de lograr.

- 16 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

1. 2 Marco legal Hoy en da, debido a la evolucin de las nuevas tecnologas, es posible transmitir informacin de forma conjunta, interrelacionarla, cruzarla y muchsimas acciones ms que dejan fuera de control a la persona titular de esos datos. Las organizaciones manejan gran cantidad de datos de carcter personal que son necesarios para desarrollar su actividad empresarial diaria o de forma publicitaria, identificando posibles clientes de un producto o servicio. En Internet, es sencillo dejar rastro de datos personales, pudindose formar incluso, un perfil del usuario sin que ste pueda controlar esa informacin. Es aqu, donde cobra especial relevancia la proteccin de datos. Por este motivo, es ineludible conseguir un equilibrio entre la necesidad que tienen las empresas de gestionar datos de carcter personal y el derecho a la proteccin de la informacin. En Espaa, existe la Ley Orgnica de Proteccin de Datos de carcter personal (LOPD) para regular este tipo de informacin. El objetivo de la Ley Orgnica 15/1999, de 13 de diciembre, se expone en el Ttulo 1 artculo 1 de dicha ley, detallando que se trata de garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar. Por lo tanto, la LOPD pretende establecer una serie de principios en cuanto al tratamiento de datos de carcter personal y reconoce unos derechos a los titulares de los datos. Asimismo, cabe destacar el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. La LOPD no ha sido la primera sobre esta materia que ve la luz en Espaa. En 1992 apareci la Ley Orgnica 5/1992, de 29 de octubre, de regulacin del tratamiento automatizado de los datos de carcter personal (LORTAD) que regulaba el tratamiento de datos de carcter personal pero slo de forma automatizada. En el Titulo VI de esta ley ya derogada se cre la Agencia de Proteccin de Datos regulada en el Real Decreto 428/1993, de 26 de marzo, por el que se aprob el Estatuto de la Agencia Espaola de Proteccin de Datos (AEPD). Se rige tambin por el Ttulo VI de la LOPD.

- 17 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Las nuevas tecnologas han trado consigo el nacimiento de varias leyes que pretender regular el uso de aquellas. El 11 de julio de 2002 se desarroll la Ley 34/2002 de Servicios de la Sociedad de la Informacin y de Comercio Electrnico (LSSICE). Esta ley regula, entre otras cosas, la celebracin de contratos por va electrnica, establece una serie de obligaciones y responsabilidades para los prestadores de servicios de la sociedad de la informacin (y de los intermediarios) y protege los intereses de los destinatarios de los servicios. La Ley 59/2003, de 19 de diciembre, de firma electrnica nace para evitar que se frene el desarrollo de la sociedad de la informacin por la falta de confianza en la realizacin de transacciones telemticas. La firma electrnica permite comprobar el origen y la integridad de los mensajes intercambiados a travs de las redes de telecomunicaciones, brindando las bases para evitar el repudio, adoptando las medidas pertinentes basndose en fechas electrnicas. Finalmente, sin querer adentrarme demasiado en materia legislativa, es de relevancia sealar que en la Constitucin Espaola de diciembre de 1978 ya se alude a la regulacin de la informtica para proteger los derechos de las personas en el artculo 18 apartado 4 La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

- 18 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

1. 3 Caractersticas de la informacin La informacin debe poseer una serie de caractersticas que hagan de sta, una informacin de calidad. Carmen Pablos y otros autores recogen en su libro Informtica y comunicaciones en la empresa las propiedades de la informacin que a continuacin, son detalladas: Precisin: la informacin debe ofrecer exactamente lo que se pide de ella. Adecuacin: se adapta a lo que se exige de ella. Fiabilidad: la informacin es veraz. Relevancia: responde a las necesidades del usuario. Exhaustividad: cualidad referente a la disposicin de una amplia informacin relevante relacionada con el tema deseado. Puntualidad: la informacin es til en el momento adecuado. Direccionamiento: debe dirigirse y recibirse por el individuo adecuado. Formato: la presentacin de la informacin responde a las necesidades de la persona. Comprensibilidad: debe ser entendida por el usuario al que se dirige. Nivel de detalle: la informacin no es ni escasa ni desmesurada. Debe mostrar el nivel de detalle idneo para el usuario que la tiene que manejar. Comunicabilidad: se divulga a travs del medio apropiado.

- 19 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

1. 4 Sistemas de Informacin Para recoger, procesar, almacenar y distribuir la informacin necesaria para que los trabajadores de la empresa puedan desempear su actividad de forma adecuada, se utilizan los Sistemas de Informacin. Los Sistemas de Informacin (SI) son conjuntos organizados de elementos que procesan y distribuyen informacin con el fin de cumplir unos objetivos. No es necesario que estn basados en ordenadores. La utilizacin de aplicaciones informticas sobre soportes informticos da lugar a los Sistemas de Informacin Automatizados (SIA). Los Sistemas de Informacin pretenden proporcionar una informacin oportuna y exacta para el apoyo en la toma de decisiones de la compaa. Adems, garantizan la confiabilidad, la integridad y disponibilidad de la informacin. El uso de Sistemas de Informacin automatiza procesos operativos y pretenden conseguir ventajas competitivas en el mercado. Entre las caractersticas que debe tener un Sistema de Informacin cabe destacar: El tiempo de respuesta del sistema debe ser el mnimo posible. La informacin que ofrece est disponible cuando es requerida. La informacin proporcionada es exacta y completa. Suministra el nivel de detalle de la informacin conforme con el propsito para el que se necesita. El sistema tiene capacidad de adaptacin, es decir, flexibilidad. Es fiable y seguro. La interfaz es lo mas amigable posible para el usuario.

- 20 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

1. 4. 1 Elementos que conforman un Sistema de Informacin Es posible distinguir cuatro elementos en un SI: Informacin: Todo aquello que el Sistema de Informacin recoge, procesa, almacena y distribuye. Personas o usuarios: Cualquier sujeto que introduce, procesa o utiliza la informacin del sistema, es decir, cualquier persona que interacta con el SI. Equipo de soporte: El hardware y software empleado, adems del papel, bolgrafos y dems elementos que puedan conformar el equipo de soporte para la comunicacin. Tcnicas de trabajo: Los mtodos utilizados para desempear el buen funcionamiento de la empresa.

Los cuatro componentes anteriores se coordinan de forma adecuada para alcanzar los objetivos de la organizacin.

1. 4. 2 Actividades bsicas de un Sistema de Informacin Existen cuatro actividades bsicas que realiza un SI: Entrada de informacin: consiste en recoger los datos necesarios que se necesitan para procesar la informacin por medio de teclados, cdigo de barras, etc. Pueden ser manuales (proporcionadas por el usuario) o automticas (procedentes de un sistema). Almacenamiento de la informacin: proceso mediante el cual es posible recuperar la informacin guardada de procesos anteriores. Esta informacin suele almacenarse en ficheros. Procesamiento de informacin: los clculos y operaciones realizadas sobre los datos. Transforma los datos recibidos en informacin til para la toma de decisiones.

- 21 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Salida de informacin: es el resultado de la informacin obtenida en las actividades anteriores a travs de impresoras y otros dispositivos. En ocasiones, la salida de informacin puede ser la entrada de ese u otro sistema.

En los Sistemas de Informacin puede existir retroalimentacin (feedback) que consiste en que la informacin de la salida del sistema vuelve a l en forma de entrada. Es decir, la salida afecta al estado del sistema.

Figura 1.1 Actividades bsicas de un Sistema de Informacin

Entrada

Procesamiento

Salida

Almacenamiento

Retroalimentacin

- 22 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

1. 4. 3 Tipos de Sistemas de Informacin Existen varios niveles en la planificacin de las organizaciones y en cada nivel se utilizan diferentes sistemas de informacin. Se pueden destacar los siguientes: Nivel operativo: se utilizan sistemas transaccionales, tambin denominados OLTP (On-Line Transactional Processing) o TPS (Transactional Processing System). Estos sistemas se ocupan de recolectar informacin y de procesar transacciones como cobros o pagos. Los sistemas de procesamiento de transacciones automatizan actividades diarias de la compaa referentes a ventas y marketing, produccin, finanzas, contabilidad y recursos humanos. Logran beneficios evidentes a corto plazo. El perfil de usuario que interacta con el sistema es el personal de operaciones. Suponen un ahorro en la mano de obra y suele ser el tipo de sistema que primero se implanta. Nivel tctico: En este nivel se utilizan sistemas de informacin para la gestin y sistemas de apoyo a la toma de decisiones. o Sistemas de informacin para la gestin, tambin llamado sistemas de informacin gerencial o MIS (Management Information System). Suministra informacin para satisfacer gran parte de las necesidades de la gerencia. Estos sistemas aportan informacin de mayor calidad que el nivel anterior y generan informes resumidos que ayudan a la gerencia media a saber qu informacin necesitan recabar para tomar decisiones estructuradas. o Sistemas de apoyo a la toma de decisiones o DSS (Decision Support System). Se basa en el procesamiento y distribucin de documentos para mejorar el rendimiento de la empresa. Proporciona informacin para apoyar la toma de decisiones. El perfil de usuario de DSS es la gerencia media-alta. Las decisiones que se toman son semiestructuradas o no estructuradas, es decir, no se goza de una respuesta precisa y clara.

- 23 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Nivel estratgico: Se utilizan sistemas de soporte a la direccin o ESS (Executive Support System) Est asociado a la alta direccin y pretende lograr ventajas competitivas en el mercado. Se deciden las lneas que deber seguir la organizacin en el futuro, es decir, se trata de decisiones a largo plazo. Los informes que ofrecen estos sistemas son poco detallados y utilizan grficos para facilitar la comprensin y comunicacin a los directivos.

En las empresas, generalmente primero se implantan los sistemas transaccionales, posteriormente, se instauran los sistemas de informacin gerencial y sistemas de apoyo a las decisiones y finalmente, los sistemas estratgicos.

Figura 1.2 Niveles en la planificacin de una compaa

Menor cantidad informacin

Nivel Estratgico (Largo Plazo)

ESS

Mayor calidad informacin

DSS Nivel Tctico (Medio Plazo) MIS

Mayor cantidad informacin

Nivel Operativo (Corto Plazo)

TPS

Menor calidad informacin

Ventas y Recursos Marketing Produccin Facturacin Contabilidad Humanos

- 24 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 1.3 Sistemas de Informacin

SISTEMA DE INFORMACIN

Elementos

Tipos

Informacin

Personas

Equipo de soporte

Tcnicas de trabajo

TPS

MIS

DSS

EIS

Actividades

Entrada de datos

Almacenamiento de datos

Procesamiento de datos

Salida de datos

- 25 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 1.4 Tipos de Sistemas de Informacin

TIPOS DE SISTEMA DE INFORMACIN

S. Transaccional

S. I. para la Gestin

S. de Apoyo de decisiones

S. de Soporte a la direccin

Objetivo

Objetivo

Objetivo

Objetivo

Automatizar procesos operativos

Suministra informacin a la gerencia media

Proporcionar informacin para la toma de decisiones

Conseguir ventajas competitivas

- 26 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

II. SEGURIDAD

- 27 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 1 Introduccin La seguridad se puede definir como aquello que esta libre de peligro, dao o riesgo. Pero lo cierto es que la seguridad plena no existe, por lo que otro enunciado que podra encajar mejor con la realidad sera calidad relativa, resultado del equilibrio entre el riesgo (amenazas, vulnerabilidades e impacto) y las medidas adoptadas para paliarlo. Una definicin que se ajusta ms en el mbito informtico es: la seguridad es la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Esta definicin est incluida en el libro I - Mtodo de MAGERIT versin 2. La seguridad no es un lujo que se puedan permitir algunas empresas, sino que es una necesidad de supervivencia. Desafortunadamente, hoy en da muchas organizaciones no invierten suficientes recursos en seguridad. La falta de seguridad puede deberse a dos factores: o o Desconocimiento de las posibles amenazas que pueden desencadenar un incidente en la entidad. Falta de conocimiento de las medidas de seguridad que existen para paliar las amenazas que pueden producir daos materiales o inmateriales en los activos.

Evidentemente, a mayor seguridad, mayor coste. Por este motivo, se debe lograr un equilibrio entre ambos teniendo siempre en cuenta las limitaciones de la organizacin. Es bien conocido por todos el dicho de que es mejor prevenir que curar y el coste de la no seguridad puede llegar a causar una cuanta desmesurada. En ocasiones, el coste de asegurar algunas posesiones de la empresa puede resultar ms costoso que producirlas de nuevo. Por lo tanto, el coste de las salvaguardas nunca debe sobrepasar el coste del activo protegido. Adems, depender de la entidad el nivel de seguridad que se deba aplicar y en qu posibles amenazas y vulnerabilidades proporcionar especial atencin. Es prcticamente imposible conseguir una seguridad total en la compaa porque el coste sera excesivo.

- 28 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Es complicado concienciar al personal de la empresa de la importancia de la seguridad sin que se distraigan de su actividad diaria o sin que se incida en grandes costes. Es fcil encontrar empleados que desconocen el nmero de incidentes de seguridad que sucedieron el ao anterior en su empresa o el origen de stos (fallos de empleados, troyanos, virus...). Es primordial que la entidad informe y conciencie a todas las reas de los riesgos a los que se enfrentan. Las organizaciones evolucionan con el paso del tiempo. De la misma forma que van surgiendo nuevas amenazas que ponen en riesgo los recursos de la compaa que pueden hacer peligrar la continuidad del negocio. Debemos intentar transformar los riesgos en fortalezas.

- 29 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 2 Bienes a proteger Debemos tener muy claro qu activos de nuestra empresa queremos proteger, de qu queremos salvaguardarlos y cmo queremos hacerlo. Los elementos que han de ser protegidos son: Datos: Es lo ms valioso a proteger. Es la informacin lgica de la organizacin, resultado de la labor realizada. Software (Sw.): Es el conjunto de programas, instrucciones y reglas informticas que hacen funcionar el hardware. Hardware (Hw.): Es el conjunto de componentes que integran la parte fsica de una computadora. Elementos fungibles: Son aquellos que se gastan o se desgastan con el uso continuo, como el tner, los cartuchos o los DVDs.

Se debe contar con un inventario de todos los activos importantes de la compaa que incluya toda la informacin necesaria acerca del activo como: el tipo de activo, lugar de ubicacin, valor comercial y todo dato relevante para la empresa. Adems, cada activo debe tener un propietario que se haga responsable de su mantenimiento.

2. 2. 1 Tipos de ataques a los bienes de la empresa Los ataques que puede sufrir una empresa pueden ser de diferente ndole: Alteracin o Manipulacin: Se obtiene el activo y se manipula ya sea para modificarlo o destruirlo. Es un ataque que afecta a la integridad de los datos. Intercepcin o Monitorizacin: Apoderarse de un bien de la empresa o acceder al contenido del mismo sin autorizacin. Vulnera la confidencialidad de la informacin. Fabricacin o Suplantacin: Elaborar recursos similares a los interceptados, quebrantando la autenticidad de los datos. Interrupcin o Denegacin de servicio: El activo resulta inutilizable o no disponible, afectando as, a la disponibilidad de la informacin. - 30 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

A continuacin, se muestra una figura muy sencilla que expone de manera grfica los ataques que pueden sufrir los recursos de la empresa.

Figura 2.1 Ataques a los recursos de la empresa

Fuente: Security in computing. Shari Lawrence Pfleeger y Charles P. Pfleeger. Editorial Prentice Hall.

2. 2. 2 Agentes que pueden causar daos en la organizacin En general, es posible distinguir tres grandes grupos que pueden daar los activos de la compaa: Personas: Personal de la empresa, antiguos empleados, piratas, terroristas, curiosos o intrusos remunerados. Catstrofes: Pueden ser desastres naturales o del entorno. Amenazas lgicas: Virus, gusanos, caballos de Troya, puertas traseras o bombas lgicas, entre otras. Este apartado se ampliar en el captulo de Seguridad Lgica.

- 31 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 2. 2. 1 Personas causantes de incidencias Los responsables de incidentes pueden ser trabajadores de la compaa o personas externas. Implantar las medidas oportunas para evadir o disminuir incidentes es vital para evitar sorpresas desagradables. Segn la actitud del atacante se distinguen dos grupos: Atacantes activos: Estos ataques interfieren en el buen funcionamiento del sistema cambiado el estado de la informacin. Atacantes pasivos: Fisgonean en el sistema pero no lo modifican aunque s atentan contra la confidencialidad. Son difciles de detectar ya que no provocan ninguna alteracin en los datos.

2. 2. 2. 1. 1 Empleados Aproximadamente, entre el 60% y el 80% de los daos producidos en la organizacin son causados por personal interno de la empresa. Los trabajadores de la compaa pueden causar incidentes de forma voluntaria o inconsciente: o Amenazas accidentales: Se producen incidentes de manera involuntaria, generalmente por falta de cultura de seguridad. Pueden producirse por desconocimiento de las normas bsicas de seguridad o porque ni siquiera estn implantadas en la organizacin. Ejemplos de malas prcticas por parte de trabajadores de la empresa que pueden causar daos de forma involuntaria a la compaa son: Empleados que en la hora de la comida no bloquean o apagan el ordenador. Contraseas escritas en psit a la vista de todos. Visitar el correo electrnico personal desde el ordenador de la empresa. Transferir archivos de la compaa al ordenador personal del trabajador. Mantener conversaciones confidenciales en lugares pblicos o en oficinas de la empresa no habilitadas para ese propsito. - 32 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Para acabar con estas malas prcticas se debe concienciar a toda la plantilla de la importancia de la seguridad y de los daos que pueden causar la no preocupacin por la seguridad de la organizacin.

o

Amenazas intencionadas: A veces, los trabajadores pueden cometer actos maliciosos de forma voluntaria para perjudicar a la compaa. Un ataque realizado por un empleado suele ser ms difcil de detectar y ms efectivo que el que pueda realizar una persona ajena a la entidad. Esto es debido a que el empleado conoce la compaa desde dentro, sus puntos fuertes y dbiles. Las infracciones intencionadas ms habituales por parte de empleados son: Daos informticos Se producen eliminando, modificando o inutilizando datos o programas de la organizacin. Suelen originarse por un despido que el empleado no asume o por un enfrentamiento entre la compaa y el trabajador. Lo ms habitual es introducir virus en los ordenadores de la empresa, el sabotaje y las bombas lgicas. Uso excesivo de recursos informticos Especialmente el acceso a Internet no relacionado con el propsito de la organizacin, o bien, por la extralimitacin en su uso. Acceso a informacin confidencial y datos personales Se difunde informacin confidencial o se revela datos personales de empleados o clientes a terceros (clientes, competidores...). La divulgacin no autorizada de datos se denomina tambin data leakage. No requiere un uso de tcnicas demasiado elaboradas para obtener tales datos, basta con disponer de un dispositivo de almacenamiento en el que copiar la informacin importante para obtener algn tipo de beneficio.

- 33 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Un empleado podra copiar informacin relevante de un ordenador referente a un proyecto que estuviese realizando la organizacin, con el fin de facilitrsela a la competencia y lograr con ello un beneficio econmico. La entidad competidora utilizara esa informacin para perjudicar econmicamente a la empresa, plagiando el proyecto o sacndolo antes al mercado, logrando as, una ventaja competitiva. Frecuentemente, se utilizan esos datos para chantajear a la empresa o para venderlos a un tercero. Esta prctica se evita en parte, implantando controles de acceso a la informacin confidencial. Crear empresa competidora utilizando activos inmateriales de la compaa El empleado se aduea de informacin de la empresa en la que trabaja utilizando soportes informticos o Internet en beneficio de su nueva empresa. Amenazas, injurias y calumnias Las amenazas buscan algn tipo de beneficio para el propio empleado. Las injurias y las calumnias buscan daar la imagen de la compaa o desacreditarla. Generalmente se realizan a travs de cuentas de correo que pueden ser de la empresa o annimas. Copiar activos inmateriales de la compaa

Se duplican activos inmateriales de la organizacin, sobre todo, obras protegidas por la propiedad intelectual para entregrselas a terceros. Intercambio de obras de terceros a travs de redes P2P

El empleado descarga o sube a la red archivos de terceros y convierte a la compaa en proveedora de copias ilegales de msica, pelculas o de programas.

- 34 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 2. 2. 1. 1. 1 Pautas para evitar daos causados por empleados Existen pautas para disminuir el dao que pudiera causar un trabajador en la entidad. Algunas medidas a poner en prctica son las siguientes:

Investigar y verificar el currculum de los trabajadores: no basta con leer por encima un curriculum de un aspirante a empleado, sino que tambin hay que verificarlo. Es posible que ese individuo haya sido despedido de alguna de las empresas por realizar acciones maliciosas contra la compaa a la que perteneca. Por tanto, los antecedentes de los trabajadores han de ser convenientemente investigados, en especial, aquellos cuyas funciones estn relacionadas con el acceso a informacin confidencial.

Rotacin de funciones: se realizan para evitar rutinas y, sobre todo, por seguridad. El conocimiento parcial puede derivar en una complicidad entre los trabajadores. Para evitarlo, lo ms efectivo es rotar asumiendo diferentes responsabilidades dentro de la empresa lo que permite a los empleados establecer una vigilancia recproca. Inhabilitar cuentas cuando finalice la actividad en la empresa: es importante que en el momento en el que un trabajador deje de serlo, suspender el acceso a sus cuenta o cambiar las contraseas y controlar su acceso a las instalaciones utilizando las mismas medidas de seguridad que si se tratase de cualquier persona externa. Adems, deben devolver todos los activos que posean de la compaa al finalizar su actividad. El exceso de confianza que la empresa pueda mostrar hacia un antiguo empleado, puede tener consecuencias fatales para la compaa.

Necesidad de conocimiento o Need to know: los trabajadores deben disfrutar del mnimo privilegio que necesiten para realizar su actividad dentro de la empresa. Conocimiento parcial o Dual control: existen tareas en la empresa que han de ser realizadas por dos empleados, ya que si slo existe una persona con conocimientos sobre esa actividad, al despedirse de la empresa o al marcharse de vacaciones, no se podr seguir realizando esa tarea hasta que el trabajador se incorpore a su puesto o sea remplazado.

- 35 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Adems, esta prctica es necesaria porque si se comete un fallo o un acto malicioso, de esta forma existir otra persona que pueda solventar el dao.

Separacin de funciones: se debe delimitar y separar las funciones de cada empleado para evitar posibles incidentes.

2. 2. 2. 1. 2 Terceros Personas externas a la empresa cometen robos o fraudes con nimo de lucro. Buscan apropiarse de activos de la organizacin o incumplir leyes en busca de un beneficio personal o de un tercero sin que exista la participacin de un empleado de la entidad. En este apartado se engloban los siguientes grupos: o Ex-empleados: son personas que han sido despedidas y no estn conformes con esa decisin o bien han decidido trabajar para la competencia. Terroristas: atacan el sistema para causar algn dao sobre el mismo. Suele realizar ataques de modificacin o de borrado de datos. o Curiosos: tienen gran inters en las nuevas tecnologas, pero no disponen de los conocimientos ni experiencia suficiente para considerarlos hackers o crackers. No suelen causar daos importantes. Crackers: Personas con amplios conocimientos informticos cuyo objetivo es acceder a un sistema informtico ilegalmente para realizar alguna accin maliciosa. Existen varios tipos de crackers segn las acciones que realizan: Carding o Tarjeteo: uso ilegal de tarjetas de crdito de otras personas. Trashing o Basureo: rastrean papeleras en busca de informacin como contraseas, directorios o nmeros de tarjetas de crdito.

o

o

- 36 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Phreaking y Foning: utilizacin de redes telefnicas de manera ilegal. Piratas: copian de forma ilegal msica, pelculas o software legal con fines lucrativos.

o Intrusos remunerados: son muy peligrosos aunque no suelen ser muy habituales. Tienen mucha experiencia y los conocimientos suficientes para robar informacin o daar de alguna forma a la empresa atacada, remunerados por otro agente externo. Algunas prcticas deshonestas que realizan personas ajenas a la empresa son: Chantajes, sobornos y extorsin

La empresa es sometida a chantajes y extorsiones por parte de personal externo en busca de un beneficio. La entidad tambin puede recibir un soborno o incentivo por parte de un proveedor o de una compaa asociada. Robo de activos de la empresa

Se consiguen activos, generalmente inmateriales, de la empresa para uso propio o para cederlos a otros con fines maliciosos. Estafas y fraudes a la entidad La compaa es sometida a un fraude o estafa. Robo de identidad de un empleado para cometer actos delictivos

Apropiacin de claves o contraseas de empleados para suplantar su identidad y acceder a informacin privada de la empresa. Aproximadamente, slo uno de cada cuatro incidentes provocados por empleados o personal externo a la empresa es llevado a los tribunales. Algunos de los motivos por los que las entidades no denuncian o no dan a conocer su situacin son: Por mala imagen y publicidad. Por miedo a que la competencia se beneficie del incidente. Porque la compaa cree ms conveniente resolverlo internamente. Por desconocimiento legal sobre este tipo de incidentes. - 37 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 2. 2. 2 Catstrofes Es importante proteger los activos de posibles daos fsicos que pudieran afectar a la entidad. De nada sirve poner toda la atencin en la seguridad lgica si un incendio puede acabar con todos los bienes de la compaa. Existen catstrofes cuya probabilidad de materializarse es mnima como, por ejemplo, un ataque nuclear o la cada de un misil. Cuando la probabilidad de ocurrencia es muy baja lo normal es aceptar el riesgo ya que implementar algunas medidas supondra un coste bastante alto para la baja probabilidad de materializacin de dicho riesgo. Las catstrofes se pueden dividir en dos grupos: Desastres naturales: La posibilidad de controlar la naturaleza es casi nula, aunque muchas catstrofes naturales son predecibles. Algunas se pueden evitar en mayor o menos medida. Por ejemplo, evitar construir una sede de la organizacin en zonas sensibles a sufrir terremotos, riadas o incendios. o Inundaciones: pueden ocurrir por causas naturales o provocadas por sofocar un incendio. Se podran prevenir, instalando mecanismos de deteccin que apaguen los sistemas si se detecta agua y corten la corriente. Adems, es necesaria la existencia de sistemas de evacuacin de agua en el caso de que se produzca la inundacin. o Humedad: en entornos normales, niveles aceptables de humedad son necesarios para evitar la electricidad esttica pero demasiada humedad puede estropear los recursos de la empresa. Para controlar la humedad basta con instalar alarmas que nos informen de niveles anormales de humedad. Condiciones climatolgicas: como fuertes tormentas,

o

tempestades... que pueden daar los activos de la organizacin. Se ha de colocar pararrayos y dems artilugios necesarios en el caso que se produjese cualquier condicin climatolgica adversa.

- 38 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

o

Terremotos: fenmenos ssmicos que segn su intensidad pueden llegar a destruir edificios y cobrase vidas humanas. Para prevenirlos, se deben construir edificios assmicos, fijar los equipos y alejar los objetos de las ventanas.

o

Incendios y humo: El origen del fuego puede darse por varias causas como, por ejemplo, un cortocircuito en las instalaciones elctricas o el uso inadecuado de materiales combustibles causando daos importantes en la organizacin. Se deben instalar detectores de incendios y de humo, extintores y realizar revisiones peridicas de stos.

Desastres del entorno: o Seales de Radar: Las seales de radar pueden afectar al procesamiento electrnico de la informacin si alcanza, al menos, los 5 voltios/metro. Instalaciones elctricas: Las subidas y cadas de tensin junto con el ruido interfieren en el funcionamiento de los componentes electrnicos. Existe la posibilidad de que se produzcan cortes de electricidad. Para los cortes de suministro elctrico, se puede utilizar Sistemas de Alimentacin Ininterrumpida (SAI) que son equipos que disponen de bateras permitiendo mantener varios minutos los aparatos conectados a ellos, consintiendo que los sistemas se apaguen de forma ordenada. Adems, existe el riesgo de corte de cables, deterioro o interferencias. Lo ms favorable sera acoplar los cables a la estructura del edificio, instalar tomas de tierra, colocar filtros si existe ruido elctrico (o alejar el hardware si fuera posible), colocar generadores y estabilizadores de tensin. o Temperaturas extremas: Las temperaturas extremas ya sean exceso de fro o calor daan gravemente los equipos. En general, el rango de temperatura debe oscilar entre los 10 C y los 32 C. Para ello, se debe instalar sistemas de calefaccin y aire acondicionado, adems de asegurarse la correcta ubicacin y ventilacin de los equipos.

o

- 39 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.2 Activos de la organizacin

BIENES DE LA EMPRESA

Qu se quiere proteger?

De qu se quiere proteger?

Datos

Software

Hardware

Elementos fungiblesTipos de ataques que reciben

Personas

Catstrofes

Amenazas lgicas

Alteracin

Interceptacin

Fabricacin

Interrupcin

- 40 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.3 Personas causantes de incidentes

PERSONAS

Tipos segn actitud

Provocan

Atacantes activos

Atacantes pasivosPueden ser

Incidentes accidentales

Incidentes intencionados

Empleados

Terceros

Tipos

Ex-empleados

Terroristas

Crackers

Curiosos

Intrusos remunerados

- 41 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.4 Catstrofes que puede sufrir una entidad

CATSTROFES

Pueden ser

Desastres naturales

Desastres del entorno

Como

Inundaciones

Humedad

Condiciones climatolog.

Terremotos

Incendios y humo

Como

Temp. extremas

Instalaciones elctricas

Seales de radar

- 42 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 3 Anlisis de riesgos Para definir lo que entendemos por riesgo, es esencial puntualizar una serie de trminos fundamentales. En una organizacin es posible que se produzcan incidentes que daen sus activos. El evento que puede desencadenar dicho incidente es lo que se denomina amenaza. La posibilidad de que se materialice la amenaza sobre un activo es una vulnerabilidad. Las vulnerabilidades se miden por la probabilidad de ocurrencia de la amenaza y la frecuencia con la que se produce. Si la amenaza se materializara, es necesario estimar cuanto degradara el activo afectado. La consecuencia que dicha materializacin tiene sobre el activo es un impacto. El impacto puede ser de tipo cuantitativo (prdidas econmicas) o cualitativo (imagen de la empresa, responsabilidad legal, etc.) La posibilidad de que se produzca un impacto en la organizacin es lo que se conoce como riesgo.

Figura 2.5 Conceptos bsicos en el anlisis de riesgos

Fuente: MAGERIT versin 2, libro I Administraciones Pblicas.

Mtodo (2006). Ministerio de

- 43 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Nuestra empresa est expuesta a posibles amenazas que pueden materializarse en cualquier momento. Por esta razn, se debe evitar o minimizar las consecuencias no deseadas en los bienes de la entidad. Por ejemplo, una empresa podra sufrir un incendio o no sufrirlo, pero debe implantar medidas para que no ocurra y si sucede, saber de antemano qu secuelas dejara en la compaa e intentar minimizarlas lo mximo posible. Las amenazas siempre han existido pero con la llegada de los ordenadores han aumentado considerablemente. Cada vez son ms frecuentes, ms difciles de detectar y ms perjudiciales para las empresas. En ocasiones, la realidad supera la ficcin y cuando vemos pelculas en las que el protagonista consigue acceder a datos confidenciales de clientes de un banco y consigue extraer millones de dlares de sus cuentas, no imaginamos que pueda suceder en la realidad. En cambio, existen casos en la vida real que reflejan que esto puede ocurrir, por lo que identificar todos los riesgos a los que se expone la organizacin es vital para saber a que nos enfrentamos. Es recomendable realizar un anlisis de riesgos para eliminar riesgos o atenuarlos en el caso de no poder eliminarlos. Un anlisis de riesgos estudia, mide, evala y previene los riesgos que pueden desencadenar incidentes que afecten a la compaa. Se pretende identificar los contratiempos que podran materializarse, analizar las circunstancias que tendran que presentarse para que el incidente se produjese y valorar las consecuencias que esto tendra. Es evidente, por tanto, que analizar los posibles riesgos a los que se expone la compaa es una actividad de alta prioridad. Adems, el anlisis de riesgos se puede realizar antes o despus de la definicin de una poltica de seguridad.

- 44 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 3. 1 Etapas del anlisis de riesgos Juan Gaspar diferencia las siguientes etapas de un anlisis de riesgos, en su libro Planes de Contingencia: la continuidad del negocio en las organizaciones: i.Analizar y reducir los riesgos a los que se expone la organizacin: Lo primero es identificar los posibles daos o peligros a los que se expone la compaa ya que si no se conocen difcilmente se sabr que medidas se deben tomar. Algunos mtodos para identificar riesgos son: Tormenta de ideas (Brainstorming) Historial de incidentes ocurridos propios y ajenos Juicios basados en la experiencia Diagramas de flujo Organigramas Encuestas y cuestionarios Anlisis de sistemas Anlisis de escenarios Entrevistas Consultas con expertos

Adems, en cualquier riesgo se ha de tener en cuenta: El valor de los activos: no es lo mismo el valor que pueda tener la informacin generada durante el ltimo trimestre que el valor de una impresora que deje de funcionar. La frecuencia de la amenaza: el nmero de veces que se repite en un periodo de tiempo. El impacto: las consecuencias del dao que causa en la empresa. La incertidumbre: es el grado de desconocimiento que tenemos de que la amenaza se materialice en un futuro. La eficacia de las medidas de seguridad: la comprobacin de que realmente aplicando esos mecanismos de seguridad se consigue paliar el riesgo. - 45 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

El coste de las medidas de seguridad adoptadas: el coste de las medidas debe ser proporcional al valor de los activos que se estn protegiendo. Incluye el coste de implantarlas, mantenerlas, reponerlas y adaptarlas.

Una vez conocidos los riesgos se buscan los mecanismos a aplicar. El anlisis de riesgos lo puede realizar personal externo o interno pero en cualquiera de los dos casos es imprescindible el uso de metodologas como: a) MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las administraciones pblicas): estudia los riesgos que soporta un Sistema de Informacin y su entorno, adems de recomendar las medidas que deberan adoptase. b) MARION: evala el nivel de seguridad utilizando cuestionarios ponderados. Las respuestas son cualitativas. MEHARI: clasifica los riesgos segn las causas y las caracterstica de seguridad que vulnera (confidencialidad, integridad y disponibilidad). Modelo de McCumber: es independiente del entorno, arquitectura o tecnologa que gestiona la informacin. Para asegurar la confidencialidad, integridad y disponibilidad de la informacin clasifica las medidas de seguridad en tres grupos: d.1) Medidas tecnolgicas: dispositivos fsicos o lgicos que aseguran las caractersticas de la informacin. d.2) Normas y procedimientos: solucionan carencias en la seguridad de la informacin. d.3) Formacin y entrenamiento: el personal de la organizacin debe mentalizarse de la importancia de la seguridad. Cada vulnerabilidad encontrada conlleva una medida de seguridad a llevar a cabo.

c)

d)

- 46 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

ii. Identificacin de amenazas y vulnerabilidades: Se definen las amenazas a las que la organizacin est expuesta. Una buena opcin es utilizar la metodologa de MAGERIT que agrupa las amenazas (de accidentes, de errores, amenazas intencionales presenciales...).

iii.Identificacin de riesgos potenciales, la probabilidad y las consecuencias: Cuanto ms detallado sea el anlisis mejor. Se debe establecer prioridades en la implantacin de las medidas. Es posible utilizar la metodologa MARION que agrupa las preguntas de los cuestionarios en 27 factores donde cada pregunta est ponderada segn su impacto en la seguridad del sistema. Existen factores de prevencin y de proteccin.

iv. Posibles alternativas frente al riesgo La direccin de la organizacin debe considerar alternativas ante los riesgos que se detecten: Evitar el riesgo: Es una solucin de carcter preventivo. Por ejemplo, si el lugar donde se quiere construir una nueva sede de la organizacin es una zona expuesta a tormentas, ventiscas o inundaciones, habra que plantearse la idea de buscar otro lugar para su localizacin menos expuesto a desastres naturales. Minimizar el riesgo: Cuando no es posible eliminar un riesgo se debe reducir al mximo la probabilidad de que se materialice y/o el impacto que pueda causar en la organizacin. Por ejemplo, no se puede evitar un incendio, pero si es posible minimizar sus causas impidiendo que se fume en las instalaciones, adems de contar con las medidas oportunas que tendran que llevarse a cabo si se produce el fuego como la presencia de detectores de incendios, extintores y contando con copias de seguridad en otros edificios. Asumir el riesgo: Es posible que el coste de eliminar el riesgo sea demasiado alto o que la probabilidad de ocurrencia sea muy baja y la compaa deba aceptar esos riesgos.

- 47 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Transferir un riesgo: Cuando no es posible eliminar o reducir el riesgo, una alternativa es transferirlo, por ejemplo, por medio de plizas de seguro.

Eliminar el riesgo: Es bastante improbable que se pueda eliminar un riesgo totalmente pero s disminuirlo, suprimiendo la mayora de sus causas.

2. 3. 2 Decidir quin debe realizar el anlisis de riesgos Para la elaboracin del anlisis es posible utilizar recursos externo o de la propia compaa: Personal externo: La ventaja de contratar consultores externos es que no tienen relacin directa con la organizacin y, por tanto, sern totalmente objetivos. Adems, es posible que para la compaa sea ms rentable que su personal dedique su tiempo a otras actividades. Personal interno: Conocen la organizacin desde dentro, pero no deben perder nunca la objetividad. Han de tener la formacin y experiencia necesaria para llevar a cabo el anlisis de riesgos.

- 48 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.6 Anlisis de riesgos

ANLISIS DE RIESGOS

Pueden realizarse por Cul es su cometido? Personal externo Personal interno Qu metodologas se podran usar?

Identificar riesgos

Identificar amenazas

Identificar vulnerabil.

Alternativas frente riesgos

MAGERIT

MARION

MEHARI

Modelo de McCumber

- 49 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.7 Riesgos

RIESGOS

Qu alternativas existen? Cmo identificarlos? Qu se debe tener en cuenta?

Asumirlo

Transferirlo

Eliminarlo

Minimizarlo

Evitarlo

Valor de los activos

Frecuencia de la amenaza

Impacto de la amenaza

Coste medidas seguridad

Eficiencia medidas seguridad

Incertidumbre

Tormenta de ideas

Historial incidentes

Juicios experiencia

Diagramas de flujo

Organigram.

Encuestas y cuestionarios

Anlisis de sistemas

Anlisis de escenarios

Entrevistas Entrevistas

Consultas con expertos

- 50 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 4 Anlisis de impacto Un impacto es una consecuencia negativa que sufre la organizacin si las funciones que generan las operaciones se vieran interrumpidas por cualquier motivo. Se ha de contemplar el tiempo de recuperacin permitido si ocurriese un desastre sin que tenga un gran impacto en la continuidad de la actividad de la compaa. Existen daos que pueden producir un impacto en la compaa de forma ms crtica y sern en los que haya que prestar mayor atencin. Por ejemplo, no causa el mismo impacto que la mquina de caf deje de funcionar durante un da que si se produce una interrupcin en el Sistema de Informacin de la empresa. El anlisis de impacto pretende identificar las funciones crticas priorizando las estrategias de recuperacin que podran ser necesarias si se produjese una interrupcin. Se debe volver a la normalidad lo antes posible ya que el tiempo es un factor que juega en contra de la entidad y cuanto ms se tarde en subsanar el dao, peores sern las consecuencias.

2. 4. 1 Etapas del anlisis de impacto i.Se definen los tipos de impacto a considerar. Los impactos pueden ser de varios tipos: De prdida de rentabilidad Incremento de costes y/o gastos Peligro para las personas Impacto comercial Impacto en la imagen Impacto ambiental Impacto operacional Impacto jurdico

- 51 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Dependiendo de estos factores hay que buscar un equilibrio entre las actividades de prevencin y de recuperacin teniendo en cuenta los costes financieros.

ii.Se identifican interdependencias.

las

funciones

crticas

de

la

organizacin

y

sus

Las funciones crticas son aquellas que su interrupcin producen un impacto en la entidad. Para identificar las funciones crticas de la organizacin es conveniente utilizar cuestionarios normalizados.

iii.Se identifica el impacto causado por la interrupcin de cada funcin crtica. Informar a la direccin de los resultados obtenidos para que priorice funciones dependiendo del grado de criticidad del impacto (tanto individual como en relacin a otras funciones) que causara la interrupcin de cada una.

iv.Se identifican los recursos mnimos necesarios para la recuperacin de las funciones. Se asignan los recursos que son indispensables para dar soporte a la compaa en la recuperacin de funciones.

- 52 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.8 Anlisis de impacto

ANLISIS DE IMPACTO

Cul es su cometido?

Definir tipos de impactos

Identificar funciones crticas

Identificar impacto causado

Identificar recursos mnimos

Qu tipos?

Prdida de rentabilidad

Incremento costes/gastos

Peligro para personas

I. comercial

I. en la

imagen

I. ambiental

I. operacional

I. jurdico

- 53 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 5 Plan de Contingencias El Diccionario de la Real Academia Espaola ofrece tres acepciones para definir contingencia: 1. Posibilidad de que algo suceda o no suceda. 2. Cosa que puede suceder o no suceder. 3. Riesgo. De estas definiciones se deduce que un Plan de Contingencias pretender servir de gua de actuacin ante una contingencia. Un Plan de Contingencias es una descripcin detallada de cmo se debe actuar ante determinados eventos que se produzcan, a fin de asegurar la continuidad del negocio. El plan ha de contener las medidas de ndole tcnica, organizativa y humana para reaccionar ante un desastre, ya sea accidental o deliberado reduciendo al mximo el impacto producido en la empresa. Se busca minimizar el nmero de decisiones a tomar durante una contingencia. El plan pretende minimizar los daos que el incidente produzca en la compaa. Adems, procura disminuir el tiempo de interrupcin de los sistemas que se vieran afectados y facilitar la restauracin del sistema en el menor tiempo posible. Tambin brinda a los empleados unas normas de actuacin frente a situaciones de emergencia. Elaborar un Plan de Contingencias no es una tarea sencilla, ya que su desarrollo depender del tamao de los sistemas, las aplicaciones que pueden verse afectadas, las interrelaciones entre stas, las prioridades entre los elementos y los riesgos a los que se enfrentan. El plan debe probarse con cierta periodicidad y realizar las actualizaciones oportunas cuando sea necesario. Un Plan de Contingencias se compone de tres planes: Plan de respaldo: gua detallada que contempla las medidas que se han de llevar a cabo antes de que se produzca el incidente. Por ejemplo, realizar copias de respaldo es una medida preventiva, ya que si se produjese la contingencia, la informacin ya estara previamente salvaguardada. Plan de emergencia: especifica las normas de actuacin que se llevarn a la prctica durante ocurre el desastre o inmediatamente despus. Por ejemplo, restaurar las copias de seguridad de la informacin daada o eliminada. Plan de recuperacin: desarrolla las normas a seguir para retornar la actividad normal en la organizacin despus de materializarse la amenaza. Por ejemplo, reparar o sustituir los elementos daados durante la contingencia. - 54 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 5. 1 Fases de un Plan de Contingencias El desarrollo del Plan de Contingencias podra dividirse en las siguientes fases: Planificacin: Primeramente, se conciencia a la alta direccin de la necesidad de implementar un Plan de Contingencias. Se debe ayudar a la direccin a establecer factores crticos de xito, alcance, polticas y objetivos del plan. Despus se planifican los recursos tcnicos, humanos y econmicos que son necesarios para llevar a cabo el plan. El desarrollo de dicho plan no ha de ser un proyecto del Departamento de Informtica solamente sino que debe participar toda la organizacin. Su elaboracin debe plantearse como cualquier proyecto desarrollado en la compaa, marcando sus objetivos, etapas, tiempos, costes Anlisis de riesgos y Anlisis de impacto: Se realiza un anlisis de riesgos y de impactos (explicados en los apartados 2.3 y 2.4 de este captulo). Desarrollo de estrategias de continuidad: despus de determinar las funciones crticas (identificadas en el Anlisis de impacto), se ha de estudiar la estrategia de recuperacin de las funciones. Tambin se establecen prioridades de recuperacin. Dentro de las estrategias de continuidad, comentar que se debe contar con un centro de respaldo, es decir, un centro de procesamiento de datos (CPD) que tome el control de otro CPD principal en caso de que se produzca un desastre. El centro de respaldo deber encontrarse alejado de aqul para no verse afectado tambin si se produce un incidente. Asimismo, deber contar con el mismo equipamiento software (y mismas versiones) y un equipamiento hardware compatible con el del centro de procesamiento de datos principal. Adems, es necesario disponer de los datos con los que se trabaja en el CPD original. Para ello, deben realizarse copias de seguridad que recuperen la informacin cuando se desencadena un desastre.

- 55 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Desarrollo del Plan de Contingencias: Se definen los procedimientos de recuperacin en caso de que se produzca un incidente. Incluye las normas de actuacin que se deban llevar a cabo antes, durante y despus de la interrupcin. El plan debe recoger los protocolos de actuacin a seguir, los recursos materiales que han de utilizarse, expresar a quin va dirigido y cuales son las responsabilidades concretas de dichas personas. Tambin se debe formar y entrenar al personal para que aprendan a actuar si se materializa una amenaza y saber como poner en marcha los procedimientos necesarios para evitar o reducir el desastre.

Pruebas: Se efectan las pruebas pertinentes para detectar las deficiencias y corregirlas. Las pruebas se repetirn con cierta periodicidad para asegurarse que el plan funciona correctamente. Mantenimiento: El plan conlleva un mantenimiento continuo y se modificar para adaptarse en todo momento a las necesidades de la organizacin y de los sistemas.

- 56 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.9 Plan de Contingencias

PLAN DE CONTINGENCIAS

Qu es?

Se compone de

Gua detallada de actuacin ante una contingencia, a fin de asegurar la continuidad del negocio.

Plan de respaldo

Plan de emergencia

Plan de recuperacin

Fases

Planificacin

A. riesgos y A. de impacto

Estrategias de continuidad

Desarrollo del Plan

Pruebas

Mantenimiento

- 57 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 6 Poltica de Seguridad Las Polticas de Seguridad son pautas y procedimientos que proporcionan a la direccin soporte relativo a la seguridad conforme con los requisitos legales y de negocio. Para su existencia es necesario que exista un alto compromiso de la gerencia, quin se encargar adems, de aprobar el documento. El objetivo de la Poltica de Seguridad ser que todo el personal de la empresa, desde el becario recin llegado al ms alto cargo, asimile y cumpla las directrices marcadas en el documento para prevenir daos en la organizacin. Asimismo, debe ser accesible y entendible por todo el personal de la compaa. Por esta razn, estar escrito en un lenguaje sencillo, evitando ambigedades y tecnicismos. De nada sirve tener una poltica que no es comprensible a todos los niveles de la organizacin porque, entonces, no todos la podrn cumplir. Si la Poltica de Seguridad se suministra fuera de la empresa se tendr especial cuidado en no facilitar datos confidenciales. Para que sean eficientes y eficaces, las Polticas de Seguridad deben revisarse y actualizarse cada cierto tiempo o si ocurre algn hecho relevante que pudiera dar cabida a una modificacin en el documento. Asimismo, la Poltica de Seguridad puede formar parte de la poltica general de la empresa. En necesario que exista un responsable que se encargue del desarrollo de la Poltica de Seguridad, de su revisin y su evaluacin. Esta persona tendr los conocimientos suficientes de las actividades que se realizan en la empresa para poder desarrollar las medidas de seguridad oportunas y con la suficiente formacin y experiencia para llevar a cabo dicha labor.

- 58 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 6. 1 Elementos que conforman una Poltica de Seguridad Los aspectos mnimos deducidos del Estndar Internacional ISO/IEC 17799 (actualmente denominada ISO/IEC 27002) que se requieren para realizar la Poltica de Seguridad son lo siguientes: Definicin de la seguridad de la informacin, los objetivos y alcance de la poltica, y la importancia de la seguridad. Descripcin de los objetivos y principios de la seguridad en concordancia con la estrategia y los objetivos comerciales de la compaa. Marco referencial para determinar los objetivos de control y los controles, y aadir la estructura de la evaluacin y la gestin del riesgo. Una concisa exposicin de las polticas, estndares y requerimientos de conformidad de la seguridad. Definicin de las responsabilidades en la gestin de la seguridad de la informacin, adjuntando adems, el reporte de incidentes de seguridad de la informacin. Alusin a la documentacin que fundamenta la poltica.

- 59 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 7 Mecanismos de Seguridad Para implementar la Poltica de Seguridad se utilizan mecanismos de seguridad. La poltica define lo que se puede hacer y lo que no, y los controles de seguridad se encargan de hacer cumplir la poltica. Los mecanismos de seguridad se dividen en tres grupos: De prevencin De deteccin De recuperacin

2. 7. 1 Mecanismos de prevencin Los mecanismos de prevencin se llevan a cabo antes de que ocurra un incidente y su funcin es no permitir que suceda. Aumentan la seguridad del sistema bloqueando los accesos no autorizado. Si se emplean controles de prevencin muy completos no ser necesario el uso excesivo de mecanismos de deteccin o recuperacin. El mecanismo de prevencin ms importante es la concienciacin de todos los empleados de la importancia de estos controles. Se pueden distinguir los siguientes mecanismos de prevencin: de autenticacin e identificacin, de control de accesos, de separacin y de seguridad en las comunicaciones. o Mecanismos de autenticacin e identificacin: Son mecanismos muy importantes que aseguran que slo los usuarios autorizados puedan acceder al sistema y evita accesos ilegtimos. Adems, estos controles aseguran que los usuarios slo acceden a las reas permitidas. Identificar y autenticar no es lo mismo. Segn El Diccionario de la Real Academia Espaola, identificar es Reconocer si una persona o cosa es la misma que se supone o se busca y autenticar es 1. Autorizar o legalizar algo. 2. Acreditar ( dar fe de la verdad de un hecho o documento con autoridad legal).

- 60 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Existen tres categoras de mtodos de autenticacin para verificar la identidad de los individuos:

Algo que el usuario conoce: puede ser una contrasea, un dato acerca de su persona Algo que la persona lleva consigo: una tarjeta inteligente, una tarjeta de identidad Caracterstica fsica del individuo o acto involuntario de ste: tcnicas biomtricas, una firma Los accesos a un sistema que pueden realizarse por medio de un

identificador y una contrasea. Es recomendable que la identificacin y autenticacin se realice de forma individual, es decir, que varios usuarios no puedan acceder al sistema con el mismo identificador y contrasea. Si algn individuo consigue apoderarse de la contrasea de un empleado puede causar mucho dao a la entidad. Para evitarlo, se debe seguir una serie de consejos: Primero, y aunque sea obvio para muchas personas, nunca se ha de guardar las contraseas en un archivo del ordenador, escribirlas en un psit a la vista de todos o facilitrselas a terceros en un exceso de confianza. En ocasiones, nos facilitan contraseas por defecto, las cuales no las cambiamos por pereza. Debemos sustituirlas en cuanto sea posible. Evitar el uso de secuencias lgicas, nombres, telfonos o fechas sealadas cuando creamos la contrasea. Una password segura debe contener: maysculas, minsculas, letras, nmeros y signos de puntuacin. La longitud mnima aceptable es de ocho caracteres, aunque lo ideal sera a partir de catorce. Deben cambiarse con frecuencia. Lo ideal es cambiar las contraseas, al menos, cada 30 das o si se sospecha que se han podido dejar de ser confidenciales. Evitar el uso de contraseas ya usadas anteriormente para identificarse en el sistema. - 61 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Por ltimo, evitar el uso de la misma contrasea para distintos sistemas.

Tambin existen otras formas de identificacin a travs de tecnologas de biometra, Kerberos, criptografa, firma electrnica, tarjetas con bandas magnticas, tarjetas inteligentes, entre otras. A continuacin, se explican algunos elementos de identificacin: Criptografa: consiste en cifrar o descifrar informacin

permitiendo que sea incomprensible para cualquier agente externo al mensaje. Permite la confidencialidad de la informacin y, en muchas ocasiones, tambin la integridad. Se pueden utilizar algoritmos de clave simtrica o de clave asimtrica:

Los algoritmos de clave simtrica, tambin llamados de clave privada, utilizan la misma clave para cifrar y descifrar el mensaje. El remitente y el destinatario eligen la clave a utilizar antes del envo de mensajes. Algunos algoritmos de clave simtrica son: DES (Data Encryption Standard), Triple DES (variante del algoritmo DES) y AES (Advanced Encryption Standard).

Los algoritmos de clave asimtrica, o denominados de clave pblica, emplean una clave para cifrar y otra clave distinta para descifrar. Cada persona posee un par de claves, una clave pblica que entregan a cualquier otra persona y la otra clave privada que solo conoce el propietario. El remitente puede emplear la clave pblica del destinatario para cifrar el mensaje y el receptor con su clave privada lo descifra. Si el remitente usa su clave privada para cifrar el mensaje, cualquier persona puede descifrarlo utilizando su clave pblica. Existen varios algoritmos de clave asimtrica como RSA o Diffie-Hellman.

- 62 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA Firma electrnica: es un conjunto de datos en forma

electrnica, que se aaden a otros datos para identificar formalmente al firmante del documento. La firma electrnica est basada en la criptografa de clase asimtrica. Si adems, la firma electrnica permite revelar cualquier modificacin de los datos firmados, es decir, garantiza la integridad de los datos, se denomina firma electrnica avanzada. Por lo tanto, permite autenticar a la persona que enva el mensaje, garantizar la integridad de la informacin e implica que el firmante no pueda repudiar su participacin. Los prestadores de servicios de certificacin permiten el empleo de firma electrnica mediante la expedicin de certificados electrnicos. Una clase particular de certificados electrnicos son los certificados reconocidos. Si la firma electrnica est basada en un certificado reconocido y se crea bajo un dispositivo seguro de creacin de firma se denomina firma electrnica reconocida. Este tipo de firma se equipara a funcionalmente con la firma manuscrita. La firma electrnica se regula en Espaa por la Ley 59/2003, de 19 de diciembre, de firma electrnica. Kerberos: protocolo de seguridad que permite que en una

red no segura dos ordenadores demuestren su identidad recprocamente de forma fiable usando criptografa de clave simtrica. Evita tener que enviar contraseas a travs de la red y que usuarios no autorizados las intercepten. Kerberos tiene una base de datos con todas las contraseas de los usuarios y de los servidores. La clave de cada usuario est cifrada y procede de su contrasea, y en el caso del servidor, la clave se genera aleatoriamente. Los usuarios al igual que los servicios de red que soliciten, se deben registrar en Kerberos.

- 63 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Las claves privadas son negociadas cuando los usuarios se registran. Adems, como Kerberos conoce todas las claves privadas, informa a los servidores, a travs de mensajes, de la autenticidad de los usuarios que solicitan sus servicios. Requiere un tercero de confianza, denominado centro de distribucin de claves (KDC, Key Distribution Center) que consta de: un servidor de autenticacin AS (Authentication Server) y un servidor para facilitar tickets TGS (Ticket Granting Server). El usuario es autenticado y se le entrega un ticket para comunicarse con el servidor de tickets, el cual suministra las credenciales que el usuario necesita para comunicar con el servidor que le ofrece el servicio. En la arquitectura de Kerberos se distinguen tres objetos de seguridad: la clave de sesin, el ticket y el autenticador.

Clave de sesin: clave generada por Kerberos que es proporcionada a un usuario para usarla en un servidor durante una sesin. Ticket: testigo que se proporciona a un usuario para solicitar los servicios de un servidor. Garantiza que el usuario ya ha sido autenticado anteriormente. Autenticador: testigo enviado a un servidor para probar la identidad del usuario. Es posible utilizarlo slo una vez.

Tecnologas de identificacin biomtricas: digitalizan y

almacenan algn rasgo fsico o del comportamiento humano para su identificacin. Para verificar la entidad de personas es necesario que sus rasgos biomtricos se comparen con el patrn ya guardado de antemano, es decir, una persona que sus caractersticas no estn almacenadas en el sistema no podr ser autenticada.

- 64 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

El indicador biomtrico que analiza algn rasgo de la persona debe tener las siguientes caractersticas:

Universalidad: Todas las personas poseen ese rasgo. Unicidad: La probabilidad de encontrar dos personas con una caracterstica idntica es mnima. Cuantificacin: El rasgo puede ser medido de manera cuantitativa. Permanencia: La caracterstica no vara con el paso del tiempo.

Existen varias tcnicas biomtricas: Patrones faciales Huellas dactilares Termografa facial Patrones de la retina Reconocimiento de voz Reconocimiento del iris Geometra de la palma de la mano Tarjetas con bandas magnticas: Son tarjetas que tienen

una banda magntica, negra o marrn, que identifican a travs de seales electromagnticas de alta o baja energa que se registran y codifican informacin en bandas. Es una opcin sencilla para controlar el acceso a edificios o zonas privilegiadas y tiene un coste bastante bajo. En el control con tarjetas magnticas se distinguen cuatro elementos importantes: un sistema de grabacin y codificacin de la banda magntica, un sistema de impresin y caracterizacin de las tarjetas, un programa de gestin de entradas y/o salidas y lectores de banda magntica.

- 65 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA Tarjetas inteligentes: Son tarjetas de plstico que llevan

adheridas un circuito integrado que almacena y procesa datos confidenciales. Pueden modificar su contenido sin la necesidad de un grabador demasiado caro. Adems, se puede realizar mltiples grabaciones sin que exista riesgo de perder la informacin. Debido a su almacenamiento ms seguro y mayor espacio de memoria, estn remplazando a las tarjetas de banda magntica. Los lectores de tarjetas son los que proporcionan la energa, razn por la cual, las tarjetas inteligentes carecen de bateras. Se distinguen dos grupos de tarjetas inteligentes:

Tarjetas microprocesadas: Generalmente no almacenan gran cantidad de datos. Contienen una zona de memoria protegida a la que slo puede acceder su fabricante garantizando una identificacin nica a nivel universal. Se usan bastante en la banca. Tarjetas de memoria: Almacenan mayor cantidad de informacin. Son totalmente grabables por lo que no garantizan plenamente la identificacin y debido a esto, se utilizan sistemas de cifrado propios de la aplicacin con la que opera la tarjeta.

Para leer tarjetas inteligentes pueden utilizarse lectoras universales, que leen ms de un tipo de tarjeta, lo que conlleva un precio elevado, o especializadas, que leen pocos tipos de tarjetas pero son ms econmicas. Entre las aplicaciones que tienen estas tarjetas inteligentes destacan la de identificacin, control de acceso y de presencia que limitan y controlan el acceso a edificios, reas restringidas, oficinas, ordenadores, aplicaciones, bases de datos, ficheros, redes

- 66 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

o

Mecanismos de control de acceso: Verifican que slo accedan a las reas y recursos de la entidad los individuos que estn autorizados. Limitan y controlan el acceso detectando el nmero de intentos y evitando el acceso de intrusos. Para llevar a cabo estos controles, la organizacin debe primero identificar y autenticar a los sujetos, para que los derechos de acceso sean acordes a cada individuo. Por tanto, estos controles de acceso estn muy ligados con los mecanismos de autenticacin e identificacin.

o

Mecanismos de separacin: Separa los objetos en cada nivel e impide que objetos y entidades de distintos niveles se comuniquen si no existe autorizacin por parte de los mecanismos de control de acceso. Segn la forma de separar los objetos se puede distinguir cinco grupos: Separacin lgica Separacin fsica Separacin temporal Separacin criptogrfica Separacin de fragmentacin

o

Mecanismos de seguridad en las comunicaciones: Protege la integridad y la confidencialidad de los datos en las comunicaciones. Para evitar ataques en el intercambio de datos, debe cifrarse la informacin.

2. 7. 2 Mecanismos de deteccin Los mecanismos de deteccin revelan violaciones (o intentos de violacin) de la seguridad. Un programa como Tripwire ayuda a detectar cambios en el sistema. Tripwire es una herramienta que monitoriza y avisa de cambios realizados asegurando la integridad de la informacin almacenada en los ficheros. Es recomendable instalarlo antes de que el ordenador haya tenido acceso a Internet.

- 67 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

2. 7. 3 Mecanismos de recuperacin Se llevan a cabo cuando ya se ha producido una violacin en el sistema, e intentan que retorne a su estado normal. Dentro de este tipo de controles existe un conjunto denominado mecanismos de anlisis forense que, adems de procurar reanudar al sistema a su estado normal, investiga el alcance de la violacin, la forma en la que se ha producido para solucionarlo y las actividades que ha llevado a cabo el intruso. Tras un dao producido en el sistema es posible revertir la informacin a su estado original por medio de copias de seguridad. Es imprescindible que el mecanismo de copia de seguridad que se implemente est diseado de forma que asegure la recuperacin y la continuidad de toda la informacin importante de la empresa, sin interrumpir la actividad del sistema.

- 68 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

Figura 2.10 Mecanismos de seguridad

MECANISMOS DE SEGURIDAD

Se dividen en tres grupos

M. de Prevencin

M. de Deteccin

M. de Recuperacin

Se distinguen

M. de Autenticacin e Identificacin

M. de Control de acceso

M. de Separacin

M. de seguridad en las Comunicaciones

- 69 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

III. SEGURIDAD LGICA

- 70 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

3. 1 Introduccin La seguridad puede dividirse, a grandes rasgos, en dos grandes bloques: seguridad fsica y seguridad lgica. Para salvaguardar los activos de la empresa no puede existir una sin la otra, ambas son complementarias. De nada sirve controlar los accesos fsicos a las instalaciones para no sufrir percances y mantener a salvo los bienes, si un individuo puede acceder a la informacin confidencial de la compaa cmodamente desde el ordenador de su casa. En el captulo anterior, se abord brevemente el tema de la seguridad fsica cuyo trmino hace referencia a la proteccin de la organizacin frente a accesos no autorizados y ataques fsicos a los ordenadores, instalaciones, personal, documentacin, etc. En las prximas pginas se expondr el otro bloque importante, la seguridad lgica, la cual garantiza la seguridad a nivel de los datos, permitiendo el acceso lgico a la informacin slo a personas autorizadas. La seguridad lgica aplica mecanismos y barreras que mantengan a salvo la informacin de la organizacin desde su propio medio. Algunos de los controles utilizados en la seguridad lgica son:

Se limita el acceso a determinados aplicaciones, programas o archivos mediante claves o a travs de la criptografa. Se otorgan los privilegios mnimos a los usuarios del sistema informtico. Es decir, slo se conceden los privilegios que el personal necesita para desempear su actividad.

Cerciorarse de los archivos, las aplicaciones y programas que se utilizan en la compaa se adaptan a las necesidades y se usan de manera adecuada por los empleados. Controlar que la informacin que entra o sale de la empresa es ntegra y slo esta disponible para los usuarios autorizados.

A lo largo de este captulo se reflejarn muchos de los peligros a los que se enfrentan nuestras empresas desde el punto de vista de la seguridad lgica. Seguramente, en los prximos aos surjan nuevas amenazas que debern ser estudiadas para evitar sus consecuencias y actuar ante su posible aparicin, al igual que las detalladas en este documento.

- 71 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

3. 2 Subestados de la seguridad de la informacin Los subestados o atributos de la seguridad de la informacin, tambin conocidos como requisitos ACID (autenticacin, confidencialidad, integridad y disponibilidad), son los siguientes: Autenticacin: Garantiza que el usuario es quien dice ser. Confidencialidad: La informacin slo se revela a los usuarios autorizados para prevenir el acceso no autorizado, ya sea de manera intencional o accidental. Integridad: La informacin debe ser siempre exacta y completa, y slo puede ser modificada por personal autorizado. Disponibilidad: La informacin slo ha de estar disponible cuando se necesite y de la forma que la requieran los usuarios autorizados.

Adems, se pueden considerar otros aspectos adicionales a de seguridad: No repudio: Es una manera de asegurar que ninguna de las partes involucradas pueda negar su participacin. Caracterstica importante en el comercio electrnico y banca. Trazabilidad: permite asociar acciones realizadas en un sistema con el individuo o sistema que las llev a cabo y en qu momento.

3. 3 Amenazas lgicas Para evitar posibles amenazas lgicas en nuestra organizacin, es importante que todos los empleados, especialmente los administradores de los equipos, tomen conciencia del cuidado que deben poner para que no se materialicen posibles daos en la compaa. Adems, es fundamental implementar mecanismos de prevencin, deteccin y recuperacin ante posibles amenazas lgicas como virus, gusanos, bombas lgicas y otros cdigos maliciosos.

- 72 -

PROYECTO FIN DE CARRERA: SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA

La expansin de la cultura de la seguridad entre los empleados puede ahorrar muchos disgustos a la entidad, muchas veces implementando medidas tan sencillas como, por ejemplo: No ejecutar programas de los que se desconozcan su procedencia. No utilizar programas no autorizados por la direccin. No abrir correos personales desde los equipos de la compaa. No visitar pginas web que no sean propsito de la empresa. Instalar y actualizar habitualmente un software dedicado detectar y eliminar cdigos maliciosos que puedan albergar los ordenadores. Realizar chequeos de los correos electrnicos recibidos para comprobar que no suponen una amenaza para la entidad.

El Estndar Internacional ISO/IEC 17799 versin 2005 (actualmente conocido como ISO/IEC 27002) recomienda que para protegerse de las amenazas lgicas, la empresa debe contar con dos o ms programas (procedentes de diferentes vendedores) encargados de detectar y reparar cdigos malicioso para mejorar las probabilidades de xito ante un ataque. stas y otras medidas facilitarn el buen funcionamiento de la organizacin. A continuacin, se detallan las am